iOS多线程经典崩溃

0x0 Block 回调的崩溃

在MRC环境下，使用Block 来设置下载成功的图片。当self释放后，weakSelf变成野指针,接着就悲剧了

 __block ViewController *weakSelf = self;
 [self.imageView imageWithUrl:@"" completedBlock:^(UIImage *image, NSError *error) {
        
        NSLog(@"%@",weakSelf.imageView.description);
 }];
 

0x1 多线程下Setter 的崩溃

Getter & Setter 写多了，在单线程的情况下，是没有问题的。但是在多线程的情况下，可能会崩溃。因为[_imageView release]; 这段代码可能会被执行两次，oops!

UIKit 不是线程，所以在不是主线程的地方调用UIKit 的东西，有可能在开发阶段完全没问题，直接免测。但是一到线上，崩溃系统可能都是你的崩溃日志。Holy shit!

解决办法：通过hook 住setNeedsLayout，setNeedsDisplay，setNeedsDisplayInRect来检查当前调用的线程是否是主线程。

- (void)setImageView:(UIImageView *)imageView
{
    if (![_imageView isEqual:imageView])
    {
        [_imageView release];
        _imageView = [imageView retain];
    }
}

0x2 更多Setter 类型的崩溃

property 的属性，写的最多的就是nonatomic，一般情况下也是没有问题的！

@interface ViewController ()
@property (strong,nonatomic) NSMutableArray *array;
@end

跑一下下面这段代码,你会看到:
malloc: error for object 0x7913d6d0: pointer being freed was not allocated

for (int i = 0; i < 100; i++) {
        dispatch_async(dispatch_get_global_queue(DISPATCH_QUEUE_PRIORITY_DEFAULT, 0), ^{
            self.array = [[NSMutableArray alloc] init];
        });
    }    

原因就是：对象被重复relaese 了。查看一下runtime 源码

解决办法：属性声明为atomic.

一个更为常见的例子：

if(handler == nil)
{
    hander = [[Handler alloc] init];
}

return handler;

如果A,B两个线程同时访问到if语句, 此时handler == nil条件满足, 两个线程都走到下一句初始化实例.
此时A线程先完成初始化并赋值(这个实例我们叫它a), 然后继续往后走到其他逻辑.而这时候, B线程开始做初始化并赋值(这个实例我们叫它b), handler将指向B线程初始化出来的对象. 而A初始化出来的实例a因为引用计数减少1(减少到0)而被释放. 但在A线程中, 代码还会尝试访问a所在的地址, 这个地址里的内容因为被释放而变得无法预测, 从而导致野指针.

问题还有一个很关键的点, 在一个对象的某个方法的调用过程中, 这个对象的引用计数并不会增加, 到导致它如果被释放, 后续的执行过程中对这个对象的访问就可能会导致野指针[1].

Exception Type:  SIGSEGV
Exception Codes: SEGV_ACCERR at 0x12345678
Triggered by Thread:  1

简单加个锁就可以解决问题了：

 @synchronized(self){
    if(handler == nil)
    {
        hander = [[Handler alloc] init];
    }
 }
return handler;

0x3 多线程下对变量的存取

if (self.xxx) {
    [self.dict setObject:@"ah" forKey:self.xxx];
}

大家第一眼看到这样的代码，是不是会认为是正确的？因为在设置key的时候已经提前进行了self.xxx为非nil的判断，只有非nil得情况下才会执行后续的指令。但是，如上代码只有在单线程的前提下才是正确的。

假设我们将上述代码目前执行的线程为Thread A，当我们执行完if (self.xxx)的语句之后，此时CPU将执行权切换给了Thread B，而这个时候Thread B中调用了一句self.xxx = nil。 使用局部变量可以解决这个问题

__strong id val = self.xxx;
if (val) {
    [self.dict setObject:@"ah" forKey:val];
}

这样，无论多少线程尝试对self.xxx进行修改，本质上的val都会保持现有的状态，符合非nil的判断。

0x4 dispatch_group 的崩溃

dispatch_group_enter 和 leave 必须是匹配的，不然就会crash . 在多资源下载的时候，往往需要使用多线程并发下载，全部下载完之后通知用户。开始下载，dispatch_group_enter ,下载完成dispatch_group_leave 。 非常简单的流程，但是当代码复杂到一定程度或者是使用了一些第三方库的时候，就很大可能出问题。

dispatch_group_t serviceGroup = dispatch_group_create();
dispatch_group_notify(serviceGroup, dispatch_get_main_queue(), ^{
    NSLog(@"Finish downloading :%@", downloadUrls);
});

// t 是一个包含一堆字符串的数组 
[downloadUrls enumerateObjectsUsingBlock:^(id  _Nonnull obj, NSUInteger idx, BOOL * _Nonnull stop) {
    dispatch_group_enter(serviceGroup);
    SDWebImageCompletionWithFinishedBlock completion =
    ^(UIImage *image, NSError *error, SDImageCacheType cacheType, BOOL finished, NSURL *imageURL) {
        dispatch_group_leave(serviceGroup);
        NSLog(@"idx:%zd",idx);
    };
    [[SDWebImageManager sharedManager] downloadImageWithURL:[NSURL URLWithString: downloadUrls[idx]]
                                                    options:SDWebImageLowPriority
                                                   progress:nil
                                                  completed:completion];
}];

使用多线程进行并发下载，直到所有图片都下载完成（可以失败）进行回调，其中图片下载使用的是SDWebImage.发生崩溃的场景是：有10 张图片，分开两次下载（A & B）。其中在B组里面有一张图片和A组下载的图片重复了。假设A组下载对应GroupA ,B组GroupB

下面截取SDWebImage源码：

dispatch_barrier_sync(self.barrierQueue, ^{
    SDWebImageDownloaderOperation *operation = self.URLOperations[url];
    if (!operation) {
        operation = createCallback();

        // ****注意这行****
        self.URLOperations[url] = operation;

        __weak SDWebImageDownloaderOperation *woperation = operation;
        operation.completionBlock = ^{
          SDWebImageDownloaderOperation *soperation = woperation;
          if (!soperation) return;
          if (self.URLOperations[url] == soperation) {
              [self.URLOperations removeObjectForKey:url];
          };
        };
    }

// ****注意这行****
id downloadOperationCancelToken = [operation addHandlersForProgress:progressBlock completed:completedBlock];
}

SDWebImage的下载器会根据URL做下载任务对应NSOperation映射，相同的URL会映射到同一个未执行的NSOperation。当A组图片下载完成后，相同的url 回调是 GroupB 而不是Group A。此时Group B的计数为1 。当B 组图片全部下载完后，结束计数为 5+1 。因为enter 的次数为5 ,leave 的次数为6 ,因此会崩溃！

0x5 最后一个持有者释放后的崩溃

对象A被 manager 持有，在A中调用[Manager removeObjectA]。A对象的retainCount -1,当retainCount 等于零时，对象A已经开始释放了。在调用removeObjectA 后，紧接着调用[self doSomething],就会崩溃。

- (void)finishEditing
{
    [Manager removeObject:self];
    [self doSomething];
}

这种情况一般会发生在数组或者字典包含对象，而且是对象的最后持有者。当在对象处理不好，就会有上面的崩溃。还有一种情况就是，当数组或者字典里面的对象已经被释放了，当遍历数组或者取字典里面的值发生崩溃。这种情况，会让人很崩溃，因为有时候堆栈是这样的：

Thread 0 Crashed:
0   libobjc.A.dylib                 0x00000001816ec160 _objc_release :16 (in libobjc.A.dylib)
1   libobjc.A.dylib                 0x00000001816edae8 __ZN12_GLOBAL__N_119AutoreleasePoolPage3popEPv :508 (in libobjc.A.dylib)
2   CoreFoundation                  0x0000000181f4c9fc __CFAutoreleasePoolPop :28 (in CoreFoundation)
3   CoreFoundation                  0x0000000182022bc0 ___CFRunLoopRun :1636 (in CoreFoundation)
4   CoreFoundation                  0x0000000181f4cc50 _CFRunLoopRunSpecific :384 (in CoreFoundation)
5   GraphicsServices                0x0000000183834088 _GSEventRunModal :180 (in GraphicsServices)
6   UIKit                           0x0000000187236088 _UIApplicationMain :204 (in UIKit)
7   Tmall4iPhone                    0x00000001000b7ae4 main main.m:50 (in Tmall4iPhone)
8   libdyld.dylib                   0x0000000181aea8b8 _start :4 (in libdyld.dylib)

产生这种堆栈可能的场景是：
释放Dictionary的时候，某个值(value)因为被其他代码提前释放变成野指针, 此时再次被释放触发Crash. 如果可以在每个Dictionary释放的时候, 把所有的key/value打出来, 如果某个key/value刚好被打出来之后, crash就发生了, 那么挂就挂在刚被打出来的key/value上.

0x6 对象的释放线程要和它处理事情的线程一致

对象A在主线程监听Notification事件，如果这个对象被其它线程释放了。此刻，如果对象A 正在执行notification 相关的操作，再访问对象相关资源就野指针了，发生crash.

0x7 performSelector:withObject:afterDelay:

调用此方法，如果不是在主线程，那么必须要确保当前线程的ruuloop是存在的，performSelector_xxx_afterDelay 依赖runlopp才能执行。另外使用 performSelector:withObject:afterDelay:和 cancelPreviousPerformRequestsWithTarget 组合的时候要小心。

• afterDelay会增加receiver的引用计数，cancel则会对应减一
• 如果在receiver的引用计数只剩下1 （仅为delay）时，调用cancel之后会立即销毁receiver，后续再调用receiver的方法就会crash

__weak typeof(self) weakSelf = self;
[NSObject cancelPreviousPerformRequestsWithTarget:self];
if (!weakSelf)
{
//NSLog(@"self被销毁");
    return;
}

[self doOther];