这篇文章中深入探讨过对象的本质、类的本质、消息查找的原理，先简单回顾一下这些知识。

一、知识回顾

1.1 对象的本质

一旦一个对象的结构确定，它在内存中的结构也就被确定，在访问对象属性/成员时，会根据每个成员的大小，经过内存偏移来获取到该成员。

1.2 类的本质和方法查找

类是元类的实例，就像对象是类的实例一样，实例方法存储在类中，而类方法存储在元类中。当调用一个实例方法如[obj doSomethind]，会根据obj->isa获取到类，然后从类的结构中查找到-doSomething方法后执行。

二、一个有趣的案例

新建一个Objective-C工程（笔者将根控制器修改成了RootViewController），新建一个Person类，并添加一个方法-work：

// Person.h
@interface Person : NSObject

- (void)work;

@end

// Person.m
@implementation Person

- (void)work {
    NSLog(@"work");
}

@end

然后将RootViewController的-viewDidLoad修改如下：

- (void)viewDidLoad {
    [super viewDidLoad];
    
    id pCls = [Person class];
    void *pCls_pointer = &pCls;
    [(__bridge id)pCls_pointer work];
}

运行程序后，控制台输出：

2020-02-10 13:35:39.087554+0800 TestObjC[1139:22263] work

-work是Person的实例方法，但我们并没有创建实例，只是通过一个类指针却能够正确调用-work方法，这是为什么呢？

三、原因分析

在上面的知识回顾中提到调用实例方法首先根据obj->isa找到类（元类的实例），然后在类的结构中去查找方法，而obj->isa其实就是一个类的指针，从本质上讲obj->isa和&cls是相等的，他们都指向Person类（元类的实例对象），因此可以查找到其中的-work方法。

1

如果给Person添加一个属性会怎么样，我们知道，属性是实例属性，通过实例访问，那么能不能通过pCls_pointer访问到呢？
给Person添加一个name属性，并在-work中方法该属性：

// Person.h
@interface Person : NSObject

@property (nonatomic, copy) NSString *name;

- (void)work;

@end

// Person.m
@implementation Person

- (void)work {
    NSLog(@"%@ work", self.name);
}

@end

运行程序后，控制台输出如下：

2020-02-10 17:37:07.449968+0800 TestObjC[1605:89215] <RootViewController: 0x7f974af073f0> work

self.name的值居然是RootViewController实例。我们并没有创建Person的实例，也没有在任何地方给name属性赋值，但是它却有指向，严格的说其实就是野指针。但是为什么会出现这种情况呢？
先看一下访问name发生了什么：

1

Person实例的地址即其在内存中的起始地址，当访问name时，它是第二个成员，会根据第一个成员的大小(8字节)，进行内存偏移8字节，得到name的地址。
在程序运行期间，执行不同的函数，其实是在不停的压栈-出栈，而我们并没有创建Person实例，在进行上述内存偏移的时候，就会指向上一个入栈的对象地址，那么由输出结果可以看出，上一个入栈的正是根控制器RootViewController实例，我们把-viewDidLoad中的代码稍微修改一下，增加一个临时变量tmpName（会被压栈）：

- (void)viewDidLoad {
    [super viewDidLoad];
    
    // 增加下面这行代码
    NSString *tmpName = @"Jack";
    
    id pCls = [Person class];
    void *pCls_pointer = &pCls;
    [(__bridge id)pCls_pointer work];
}

运行程序，控制台输出如下：

2020-02-10 18:12:26.335944+0800 TestObjC[1836:111160] Jack work

在-work之前，通过压栈临时变量tmpName，使内存偏移后取到了tmpName的值。

无论是RootViewController还是NSString，他们都是一个指针，占用8字节，且都是合法的OC对象，因此可以在NSLog()中被正确打印出来。

由此可以推测，当入栈的不是一个指针或OC对象，比如是个int类型（4字节），那么在-work中访问self.name就会出现典型的访问野指针的问题，导致程序崩溃。

四、总结

通过本篇文章，进一步加强了对内存偏移的理解

• 程序运行过程中，内存中不断的在压栈-出栈

• 无论是访问变量、对象还是属性，计算机都是通过内存偏移的方式先寻址，然后再执行代码

• 只要掌握了对象和类的内存结构，我们就可以直接通过指针的方式访问其属性成员，调用方法。虽然如此，我们也不应该这么做，直接操作内存是危险的行为，还是保持良好的变成习惯比较好。