如果你一直看我的博客,你会发现我不仅仅会讲述 Android 相关的内容,我也会讲一些 Rust 相关的知识。
我不是 Rust 方面的专家,平时只有 20% 的时间编写 Rust 的代码,但我对 Rust 的喜爱溢于言表。
我的 Rust 经验主要是编写 UI 工具链,方便平时开发 AOSP 相关的内容。
对于一个写惯了 Java 和 Kotlin 的人来讲,我非常推崇 Rust 对空指针的处理方式。那么,就让我这个不那么精通 Rust 的人来看看,Rust 是如何解决空指针的。
空指针的泥潭
如果你写过 C、C++ 或 Java,应该都见过类似的错误:对象明明应该存在,运行时却突然抛出一个空指针异常。
代码看起来没什么问题,编译也通过了,真正的问题要等到程序跑起来才暴露。
更麻烦的是,空指针错误往往不是发生在赋值的位置,而是发生在很远之后的某次访问上。等你回头排查时,只能沿着调用链一点点追踪:这个值到底是从哪里变成 null 的?
虽然 C++ 和 Java 对于空指针都有明确的规避方式,但是作为开发者,对于空指针的担忧始终萦绕在心头。你能保证自己写的代码是完美的,但你不能规避第三方代码的空指针问题呀!
Rust 的神来之笔
在我 21 年接触 Rust 的时候,我发现 Rust 对 null 的处理非常有意思。
Rust 没有 null 这个值。
当然,没有 null 并不是简单地说“我没有空指针”,而是把“可能为空”这件事从一种隐式风险,变成了类型系统中明确表达的一部分。
换句话说,Rust 并没有让空值彻底消失,而是让它没法再偷偷混进普通代码里。
你必须直面空指针,而不是假装这里不会有空指针问题,这是 Rust 对于空指针的最终奥义!
在 Rust 里,普通引用默认就是非空的。比如 &T 和 &mut T,它们表达的语义不是“这里可能有一个 T”,而是“这里一定有一个有效的 T”。
所以你不能随便构造一个空引用,也不能把 null 当成一个正常引用传来传去。
这个设计非常关键,因为它让大量代码天然摆脱了空指针检查。
fn print_name(name: &String) {
println!("{}", name);
}
这段代码里,name 不需要判断是否为空。因为从类型上看,它就不可能是空的。函数签名已经把约束说清楚了:调用者必须传一个有效的 String 引用进来。编译器会帮助你维护这个约束,而不是把风险留到运行时。
那如果一个值确实可能不存在怎么办?Rust 使用 Option<T> 来表达。
enum Option<T> {
Some(T),
None,
}
这其实就是 Rust 处理空值的核心思路:不要用一个特殊的 null 值混在所有类型里面,而是用一个明确的类型告诉你,这里可能有值,也可能没有值。
比如查找一个用户时,用户可能存在,也可能不存在:
fn find_user(id: u64) -> Option<String> {
if id == 1 {
Some("Alice".to_string())
} else {
None
}
}
调用者拿到 Option<String> 之后,不能直接把它当成 String 用。
你必须处理 Some 和 None 两种情况。
match find_user(1) {
Some(name) => println!("user: {}", name),
None => println!("user not found"),
}
这就是 Rust 和很多传统语言最大的区别。
传统语言里,一个变量可能是 null,但类型本身往往看不出来。你看到的是 User、String、Object,但运行时它也可能是 null。
所以在这些语言里,你不得不编写大量的代码去处理空指针问题 —— if (a != null)。
Rust 则把这种不确定性写进类型里:String 就是有值,Option<String> 才是可能没值。
Rust 干掉空指针的方式,不是靠程序员自觉多写几个 if 判断,而是改变了问题的表达方式。
以前我们写代码时,经常在心里记着:“这个地方有可能为空,后面要小心。”Rust 不让你只在心里记着,它要求你在类型上写出来。
凡事都有例外
当然,Rust 也不是完全没有“空指针”这个概念。
比如在和 C 语言交互时,或者在写底层代码时,Rust 仍然有原始指针:*const T 和 *mut T。原始指针是可以为空的,也可以指向无效地址。但是使用原始指针解引用需要进入 unsafe 代码块。
let p: *const i32 = std::ptr::null();
unsafe {
// 解引用之前必须自己保证它是有效的
// println!("{}", *p);
}
这说明 Rust 的目标不是假装世界上没有危险,而是把危险圈在边界里。
普通业务代码使用引用和 Option<T>,编译器帮你保证基本安全;真正需要和底层世界打交道时,可以使用原始指针,但这部分代码会被 unsafe 明确标出来。代码审查时,大家自然也知道这些地方需要额外小心。
性能
Rust 的 Option<T> 还有一个很容易被忽略的细节:它并不一定会带来额外的运行时开销。
很多人一开始看到 Some 和 None,会以为这肯定比 null 指针更重。实际上,Rust 编译器会做所谓的空指针优化。
对于引用、Box<T>、函数指针这类本身不能为 null 的类型,Option<&T> 或 Option<Box<T>> 往往可以和普通指针占用一样大的空间。因为编译器可以用原本非法的 null 位模式来表示 None。
这就是 Rust 的高明之处了:在语义上让“可能为空”变得明确,在性能上又尽量不让你为这种明确性付出额外代价。
强迫症
当然,这套设计也带来一个很现实的体验:你不能偷懒。
拿到一个 Option<T>,就必须处理没有值的情况。你可以用 match,也可以用 if let,还可以用 unwrap_or、map、and_then 之类的方法。
对于简单场景,这些工具非常顺手。
let name = find_user(2).unwrap_or("Guest".to_string());
println!("{}", name);
但如果你直接使用 unwrap(),其实就有点回到老路上了。
let name = find_user(2).unwrap();
unwrap() 的意思是:我确信这里一定有值,如果没有,就让程序 panic。
它不是不能用,比如测试代码、原型代码、明确不可能失败的地方都可以用。但在正式业务代码里频繁使用 unwrap(),就等于把 Rust 类型系统帮你拦下来的风险又手动放回去了。
Rust 不能阻止你写出不负责任的代码,但它会让这种不负责任变得非常显眼,你的领导一旦在业务代码中审查到这种代码,一定会批评你几句。不说领导了,你让 AI 给你查一下,也都会提醒你这个地方的处理过于粗糙。
Kotlin 呢
再来看 Kotlin。
Kotlin 处理空值的思路和 Rust 有相似之处:它同样把“是否可空”放进了类型系统。
只不过 Kotlin 是运行在 JVM 上的语言,它需要和 Java 互操作,所以它的设计不像 Rust 那样彻底。
我现在想想,如果当时 Kotlin 对于 Java 中的可空互操作,自定义一个 Option 去处理,会不会比现在更好呢?
在 Kotlin 里,String 和 String? 是两个不同的类型。
val name: String = "Alice"
val nickname: String? = null
String 表示非空字符串,String? 表示这个字符串可能为空。
如果你直接访问一个可空类型的方法,编译器会报错。
val nickname: String? = null
// 编译不通过
// println(nickname.length)
你必须使用安全调用:
println(nickname?.length)
这里的 ?. 表示:如果 nickname 不为空,就访问它的 length;如果为空,整个表达式结果就是 null。
Kotlin 还提供了 Elvis 操作符 ?:,用来给空值提供默认结果。
val length = nickname?.length ?: 0
也可以在判断之后,让编译器自动做智能类型转换。
if (nickname != null) { // 你必须确保 nickname 是 val
println(nickname.length)
}
在这个 if 分支里,Kotlin 知道 nickname 已经不是 null 了,所以允许你像普通 String 一样访问它。
从日常开发体验看,Kotlin 的空安全非常舒服。它不像 Rust 那样把所有权、生命周期、借用检查一起压过来,学习成本低很多;但它也比 Java 更严格,能提前发现大量空指针问题。
尤其在 Android 开发里,Kotlin 的空安全确实减少了很多低级崩溃。
不过 Kotlin 也保留了一个“后门”:!!。
val length = nickname!!.length
!! 的意思是:我认为它一定不为空,如果它为空,就直接抛出 NullPointerException。
这个操作符很直白,也很危险。它基本相当于开发者告诉编译器:“这里你别管,我自己负责。”如果判断错了,程序就会在运行时崩溃。
Kotlin 还有一个绕不开的问题:Java 互操作。
Java 代码里的类型默认并不携带严格的可空信息,所以 Kotlin 引入了平台类型,比如 String! 这种概念。
你在代码里不会直接写出 String!,但从 Java 返回的对象可能在 Kotlin 看起来既可以当非空用,也可以当可空用。这是 Kotlin 空安全体系里最容易漏风的地方。
比如 Java 里有这样一个方法:
public String getName() {
return null;
}
Kotlin 调用它时,如果没有注解告诉编译器这个返回值可能为空,开发者就很容易把它当成非空值使用,最后还是可能遇到运行时空指针。
所以 Kotlin 的策略可以概括为:在 Kotlin 自己的世界里尽量做到空安全,但在 JVM 生态和 Java 历史包袱面前,仍然需要开发者保持警惕。它比 Java 向前走了一大步,但没有像 Rust 那样把边界切得那么硬。
走马观花
除了 Rust 和 Kotlin,其他现代语言也在用不同方式处理空值问题。比如 Swift,它的设计和 Kotlin 很像,也使用 Optional 表达可能不存在的值。
var name: String? = nil
if let realName = name {
print(realName)
} else {
print("no name")
}
Swift 里的 String 和 String? 也是不同类型。
访问 Optional 时,需要解包。你可以用 if let,也可以用 guard let,还可以用可选链调用。
Swift 也有强制解包 !,一旦值为空就会崩溃。这个设计和 Kotlin 的 !! 非常接近:语言鼓励你安全处理,但也允许你在明确知道风险的时候强行解包。
再比如 TypeScript。
JavaScript 里长期存在 null 和 undefined 两种“空”的表达,这也是很多 bug 的来源。
TypeScript 没法改变 JavaScript 的运行时模型,但它可以在类型系统里增加约束。开启 strictNullChecks 之后,null 和 undefined 不会再随便赋值给其他类型。
let name: string = "Alice"
// 开启 strictNullChecks 后,这样会报错
// name = null
如果一个值可能为空,就要写成联合类型:
let nickname: string | null = null
if (nickname !== null) {
console.log(nickname.length)
}
TypeScript 的做法和 Kotlin、Rust 都有点像:让“可能为空”出现在类型签名里,而不是偷偷藏在运行时。
区别在于 TypeScript 最终还是编译成 JavaScript,类型检查主要发生在编译阶段,运行时并不会真的多出一套类型系统。因此它能帮助你减少很多错误,但前提是项目开启严格模式,并且团队不要大量使用 any 去绕开类型检查。
亿点想法
如果把这些语言放在一起看,会发现现代语言对于空指针的处理有一个共同趋势:不再把 null 当成所有引用类型的默认可能值,而是把“值可能不存在”单独表达出来。
Rust 用 Option<T>,Kotlin 用 T?,Swift 用 Optional,TypeScript 用 T | null 或 T | undefined。
语法不同,理念很接近。它们都在推动开发者做一件事:不要假装一个值永远存在,而是在它可能不存在的时候,明确写出处理逻辑。
这背后其实是编程语言设计思想的变化。
过去很多语言更信任程序员,语言本身提供强大的自由度,至于你会不会踩坑,那是你自己的事。
现代语言则更倾向于把常见错误变成编译期问题。能在编译期发现的,就不要留到运行时;能在类型系统里表达清楚的,就不要只靠注释和约定。
那么也就是说,随着技术的发展,语言越来越不信任程序员了? —— 很有意思的一个想法。
空指针就是一个典型例子。它不是复杂的算法问题,也不是高深的架构问题,但它足够常见,足够隐蔽,也足够致命。
一个本该存在的对象突然为空,轻则页面崩溃,重则服务异常。如果语言能在编译阶段把这类问题提前暴露出来,整体代码质量自然会提升。
当然,类型系统不是银弹,空问题本身并不能完全规避!
Rust 里可以滥用 unwrap(),Kotlin 里可以到处写 !!,Swift 里也可以强制解包,TypeScript 里可以用 any 把类型检查绕开。
语言只能给你铺一条更安全的道路,把危险的操作标得更醒目,最终你怎么走,还是取决于你的习惯和工程纪律。
这就是现代语言对稳定性和健壮性的共同追求:让代码的风险更可见,让错误更早暴露,让边界条件更难被忽略。
空指针曾经被称为“十亿美元的错误”,而 Rust、Kotlin、Swift、TypeScript 这些语言的努力,本质上都是在告诉我们:不要再把这种错误交给运行时处理了,能在写代码的时候解决,就别等到线上崩溃时再解决。
