Scroll to navigation

malloc(3) Library Functions Manual malloc(3)

NOM

malloc, free, calloc, realloc, reallocarray — Allocation et libération de mémoire dynamique

BIBLIOTHÈQUE

Bibliothèque C standard (libc-lc)

SYNOPSIS

#include <stdlib.h>
void *malloc(size_t taille);
void free(void *_Nullable p);
void *calloc(size_t n, size_t taille);
void *realloc(void *_Nullable p, size_t taille);
void *reallocarray(void *_Nullable p, size_t n, size_t taille);

Exigences de macros de test de fonctionnalités pour la glibc (consulter feature_test_macros(7)) :

reallocarray() :



    Depuis la glibc 2.29 :


        _DEFAULT_SOURCE


    glibc 2.28 et précédentes :


        _GNU_SOURCE

DESCRIPTION

malloc()

La fonction malloc() alloue taille octets et renvoie un pointeur sur la mémoire allouée. Le contenu de la zone de mémoire n'est pas initialisé. Si taille est nulle, malloc renvoie une valeur de pointeur unique qui pourra être passée ultérieurement à free() avec succès (consulter « Comportement non portable » pour les problèmes de portabilité).

free()

La fonction free() libère l'espace mémoire pointé par p qui doit avoir été obtenu lors d'un appel antérieur à malloc() ou une fonction de la même famille. Autrement, ou si p a déjà été libéré, le comportement est indéterminé. Si p est NULL, aucune opération n'est effectuée.

calloc()

La fonction calloc() alloue de la mémoire pour un tableau de n éléments de taille octets chacun et renvoie un pointeur sur la mémoire allouée. La zone mémoire est initialisée avec des 0. Si n ou taille vaut 0, calloc() renvoie une valeur de pointeur unique qui pourra être passée ultérieurement à free() avec succès.

Si la multiplication de n par taille provoque un dépassement d'entier, calloc() renvoie une erreur. Par contre, aucun dépassement d'entier ne serait détecté lors de l'appel suivant à malloc(), avec pour conséquence l'allocation d'un bloc de mémoire incorrectement dimensionné :


malloc(n * taille);

realloc()

La fonction realloc() modifie la taille du bloc de mémoire pointé par p à taille octets. Le contenu de la mémoire entre la zone de départ et le minimum des ancienne et nouvelle tailles n'est pas modifié. Si la nouvelle taille est plus grande que l'ancienne taille, le contenu de la zone de mémoire nouvellement allouée n'est pas initialisé.

Si p est égal à NULL, l'appel est équivalent à malloc(taille) pour toutes les valeurs de taille.

Si taille est égale à zéro et si p est différent de NULL, l'appel est équivalent à free(p) (consulter cependant « Comportement non portable » pour les problèmes de portabilité).

Excepté le cas où p est égal à NULL, il doit avoir été renvoyé par un appel précédent à malloc ou à une fonction de la même famille. Si la zone pointée a été déplacée, l'appel free(p) est effectué.

reallocarray()

La fonction reallocarray() déplace éventuellement le bloc mémoire pointé par p et change sa taille pour qu'il soit suffisamment grand pour contenir un tableau de n éléments faisant chacun taille octets. Elle équivaut à l'appel


realloc(p, n * taille);

Cependant, contrairement à cet appel de realloc(), reallocarray() échoue pour éviter tout problème dans le cas où la multiplication entraînerait un dépassement. Si un tel dépassement se produit, reallocarray() renvoie une erreur.

VALEUR RENVOYÉE

Les fonctions malloc(), calloc(), realloc() et reallocarray() renvoient un pointeur vers la mémoire allouée qui est correctement alignée pour n'importe quel type dont la taille correspondra à la taille demandée ou sera inférieure à cette dernière. Si elles échouent, elles renvoient NULL et définissent errno pour indiquer l'erreur. Essayer d'allouer plus que PTRDIFF_MAX octets est considéré comme une erreur, car un objet de cette taille pourrait provoquer un dépassement lors d'une soustraction de pointeur ultérieure.

La fonction free() ne renvoie aucune valeur et préserve errno.

Les fonction realloc() et reallocarray() renvoient NULL si p est différent de NULL et si la taille demandée est égale à zéro, ce qui n'est pas considéré comme une erreur (consulter « Comportement non portable » pour les problèmes de portabilité). Dans le cas contraire, le pointeur renvoyé peut être identique à p si la zone mémoire n'a pas été déplacée (par exemple s'il y a assez de place pour l'étendre à son emplacement), ou peut être différent de p si la zone mémoire a été déplacée à une nouvelle adresse. Si ces fonctions échouent, le bloc mémoire originel reste intact ; il n'est ni libéré ni déplacé.

ERREURS

calloc(), malloc(), realloc() et reallocarray() peuvent échouer avec l'erreur suivante :

Plus de mémoire. Il est possible que l'application ait atteint les limites RLIMIT_AS ou RLIMIT_DATA décrites dans getrlimit(2). Une autre raison pourrait être que le nombre de mappages créés par le processus appelant dépasse la limite spécifiée par /proc/sys/vm/max_map_count.

ATTRIBUTS

Pour une explication des termes utilisés dans cette section, consulter attributes(7).

Interface Attribut Valeur
malloc(), free(), calloc(), realloc() Sécurité des threads MT-Safe

NORMES

C23, POSIX.1-2024.
POSIX.1-2024.

realloc(p, 0)

Le comportement de realloc(p, 0) dans la glibc n’est conforme à aucune des normes C99, C11, POSIX.1-2001, POSIX.1-2004, POSIX.1-2008, POSIX.1-2013, POSIX.1-2017 ou POSIX.1-2024. La spécification C17 a été modifiée pour mettre cette fonction en conformité, mais cette spécification a rendu impossible l’écriture d’un code qui déterminerait de manière fiable si le pointeur d’entrée a été libéré après l’appel de realloc(p, 0), et C23 a encore modifié les choses pour rendre ce comportement indéterminé, en assumant que la spécification C17 était suffisamment vaste, si bien qu’un comportement indéterminé n’était pas pire que ça.

reallocarray() souffre du même problème dans la glibc.

La libc de musl et celle de BSD sont conformes à toutes les versions de ISO C et POSIX.1.

gnulib propose le module realloc-posix fournissant les programmes enveloppe realloc() et reallocarray() qui sont conformes à toutes les versions de ISO C.

There's a proposal to standardize the BSD behavior: https://www.open-std.org/jtc1/sc22/wg14/www/docs/n3621.txt.

HISTORIQUE

POSIX.1-2001, C89.
glibc 2.26. OpenBSD 5.6, FreeBSD 11.0.

Depuis la glibc 2.30, malloc() et les fonctions de la même famille refusent les tailles supérieures à PTRDIFF_MAX.

Depuis la glibc 2.33, free() préserve errno.

realloc(p, 0)

C89 était ambigu quant à sa spécification de realloc(p, 0). C99 y remédie partiellement.

L’implémentation originelle dans la glibc aurait été conforme à C99. Cependant, et ironiquement, en essayant de se conformer à C99 avant que la norme ne soit écrite, glibc modifia son comportement à partir de glibc 2.1.1 pour quelque chose qui s’avéra en fin de compte non conforme à la spécification finale de C99 (mais cela est débattu, car la formulation de la norme semble se contredire elle-même).

NOTES

Par défaut, Linux suit une stratégie d'allocation optimiste. Cela signifie que lorsque malloc() ne renvoie pas NULL, il n'y a aucune garantie que la mémoire soit véritablement disponible. S'il devait s'avérer que le système manque de mémoire, un ou plusieurs processus seraient tués par « OOM killer » (gestionnaire de mémoire). Pour plus d'informations, consultez la description de /proc/sys/vm/overcommit_memory et /proc/sys/vm/oom_adj dans proc(5), ainsi que le fichier Documentation/vm/overcommit-accounting.rst dans les sources du noyau Linux.

En général, malloc() alloue la mémoire depuis le tas, et ajuste la taille du tas en conséquence avec sbrk(2). Lorsque les blocs de mémoire alloués sont supérieurs à MMAP_THRESHOLD octets, l'implémentation de la glibc de malloc alloue la mémoire selon une projection anonyme privée avec mmap(2). MMAP_THRESHOLD vaut 128 ko par défaut et il est ajustable avec mallopt(3). Avant Linux 4.7, les allocations réalisées avec mmap(2) n’étaient pas affectées par la limitation de ressource RLIMIT_DATA ; depuis Linux 4.7, cette limite est aussi prise en compte pour les allocations faites avec mmap(2).

Pour éviter les corruptions d'applications multithread, les mutex sont utilisés en interne pour protéger les structures de données de gestion de mémoire utilisées dans ces fonctions. Dans une application multithread où les threads allouent et libèrent la mémoire en même temps, ces mutex risquent d'entrer en conflit. Pour gérer l'allocation de mémoire de façon évolutive dans les applications multithread, la glibc crée des domaines d'allocation mémoire si un conflit de mutex est détecté. Chaque domaine est un grand espace de mémoire qui est alloué en interne par le système (en utilisant brk(2) ou mmap(2)) et géré avec ses propres mutex.

Si votre programme utilise un allocateur de mémoire privé, il doit le faire en remplaçant malloc(), free(), calloc() et realloc(). Les fonctions de remplacement doivent implémenter les comportements de la glibc documentés, y compris la gestion de errno, les allocations de taille nulle et la surveillance des dépassements ; si ce n'est pas le cas, d'autres routines de la bibliothèque pourront planter ou fonctionner de manière incorrecte. Par exemple, si la fonction qui remplace free() ne préserve pas errno, des routines de la bibliothèque apparemment sans rapport pourront échouer sans indiquer de raison valable dans errno. Un allocateur de mémoire privé devra peut-être aussi remplacer d'autres fonctions de la glibc ; consulter « Remplacer malloc » dans le manuel de la glibc pour plus de détails.

L'échec d'un allocateur de mémoire est presque toujours le signe d'une corruption du tas, à l'instar d'un débordement de bloc mémoire alloué ou d'une double libération du même pointeur.

L'implémentation de malloc() est personnalisable à l'aide des variables d'environnement. Pour plus de précisions, consultez mallopt(3).

Comportement non portable

Le comportement de ces fonctions lorsque la taille demandée est égale à 0 est spécifique à la glibc ; d'autres implémentations peuvent renvoyer NULL sans définir errno et les programmes POSIX portables doivent tenir compte de ces comportements. Consultez realloc(3p).

La norme POSIX exige des allocateurs de mémoire qu'ils renseignent errno en cas d'erreur. Ce n'est cependant pas le cas de la norme C, et les applications portables vers des plateformes non-POSIX ne sont donc pas tenues de se plier à cette contrainte.

Les programmes portables ne doivent pas utiliser d'allocateurs de mémoire privés, car les normes C et POSIX n’autorisent pas le remplacement des fonctions malloc(), free(), calloc() et realloc().

BOGUES

Les programmeurs s’attendent naturellement par induction à ce que realloc(p, size) soit cohérent avec free(p) et malloc(size), car c’est le comportement adopté dans le cas général. Ce comportement n’est pas explicitement imposé par POSIX.1-2024 ou C11, mais toutes les implémentations qui s’y conforment sont en accord avec cela.

L’implémentation de realloc() par la glibc n’est pas cohérente avec ce comportement et par voie de conséquence, il est dangereux d’utiliser realloc(p, 0) avec la glibc.

Un contournement évident pour la glibc consiste à utiliser realloc(p, size?size:1).

Le contournement pour la version de la glibc de reallocarray() — qui partage le même bogue — consisterait à utiliser reallocarray(p, n?n:1, size?size:1).

EXEMPLES

#include <err.h>
#include <stddef.h>
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#define MALLOCARRAY(n, type)  ((type *) my_mallocarray(n, sizeof(type)))
#define MALLOC(type)          MALLOCARRAY(1, type)
static inline void *my_mallocarray(size_t n, size_t taille);
int
main(void)
{


    char  *p;


    p = MALLOCARRAY(32, char);


    if (p == NULL)


        err(EXIT_FAILURE, "malloc");


    strlcpy(p, "foo", 32);


    puts(p);
}
static inline void *
my_mallocarray(size_t n, size_t taille)
{


    return reallocarray(NULL, n, taille);
}

VOIR AUSSI

valgrind(1), brk(2), mmap(2), alloca(3), malloc_get_state(3), malloc_info(3), malloc_trim(3), malloc_usable_size(3), mallopt(3), mcheck(3), mtrace(3), posix_memalign(3)

For details of the GNU C library implementation, see https://sourceware.org/glibc/wiki/MallocInternals.

TRADUCTION

La traduction française de cette page de manuel a été créée par Christophe Blaess <https://www.blaess.fr/christophe/>, Stéphan Rafin <stephan.rafin@laposte.net>, Thierry Vignaud <tvignaud@mandriva.com>, François Micaux, Alain Portal <aportal@univ-montp2.fr>, Jean-Philippe Guérard <fevrier@tigreraye.org>, Jean-Luc Coulon (f5ibh) <jean-luc.coulon@wanadoo.fr>, Julien Cristau <jcristau@debian.org>, Thomas Huriaux <thomas.huriaux@gmail.com>, Nicolas François <nicolas.francois@centraliens.net>, Florentin Duneau <fduneau@gmail.com>, Simon Paillard <simon.paillard@resel.enst-bretagne.fr>, Denis Barbier <barbier@debian.org>, David Prévot <david@tilapin.org>, Grégoire Scano <gregoire.scano@malloc.fr> et Lucien Gentis <lucien.gentis@waika9.com>

Cette traduction est une documentation libre ; veuillez vous reporter à la GNU General Public License version 3 concernant les conditions de copie et de distribution. Il n'y a aucune RESPONSABILITÉ LÉGALE.

Si vous découvrez un bogue dans la traduction de cette page de manuel, veuillez envoyer un message à debian-l10n-french@lists.debian.org.

8 février 2026 Pages du manuel de Linux 6.17