免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
查看: 2320 | 回复: 7

[函数] 请问如何安全地使用字符串函数?谢谢! [复制链接]

论坛徽章:
3
2015年辞旧岁徽章
日期:2015-03-03 16:54:152015年迎新春徽章
日期:2015-03-04 09:53:17操作系统版块每日发帖之星
日期:2016-06-12 06:20:00
发表于 2014-12-22 10:03 |显示全部楼层
经常用到strcpy,strncpy,strcat等之类的函数。
也总担心像windows2000那样,被人利用strcpy的缺陷进行溢出。

应该如何使用才安全呢?谢谢!

求职 : 机器学习
论坛徽章:
79
2015年亚洲杯纪念徽章
日期:2015-05-06 19:18:572015七夕节徽章
日期:2015-08-21 11:06:172015亚冠之阿尔纳斯尔
日期:2015-09-07 09:30:232015亚冠之萨济拖拉机
日期:2015-10-21 08:26:3915-16赛季CBA联赛之浙江
日期:2015-12-30 09:59:1815-16赛季CBA联赛之浙江
日期:2016-01-10 12:35:21技术图书徽章
日期:2016-01-15 11:07:2015-16赛季CBA联赛之新疆
日期:2016-02-24 13:46:0215-16赛季CBA联赛之吉林
日期:2016-06-26 01:07:172015-2016NBA季后赛纪念章
日期:2016-06-28 17:44:45黑曼巴
日期:2016-06-28 17:44:4515-16赛季CBA联赛之浙江
日期:2017-07-18 13:41:54
发表于 2014-12-22 10:46 |显示全部楼层
你这个问题好难啊,需要注意的太多了
好多C程序的安全问题就是由于字符串操作的引起的

一般来讲可以有一下几个要点需要注意
1、如果存在安全版本,尽量使用安全版本
2、使用字符串的时候务必关注字符串长度

论坛徽章:
12
巳蛇
日期:2013-09-16 15:32:242015年辞旧岁徽章
日期:2015-03-03 16:54:152015年亚洲杯之约旦
日期:2015-02-11 14:38:37双鱼座
日期:2015-01-05 11:05:47戌狗
日期:2014-12-08 09:41:18戌狗
日期:2014-08-15 09:29:29双子座
日期:2014-08-05 09:17:17卯兔
日期:2014-06-08 15:32:18巳蛇
日期:2014-01-27 08:47:08白羊座
日期:2013-11-28 21:04:15巨蟹座
日期:2013-11-13 21:58:012015年亚洲杯之科威特
日期:2015-04-17 16:51:51
发表于 2014-12-22 12:43 |显示全部楼层
恐怕没有什么简单、通用的准则,仔细阅读man page能避免大部分问题。

论坛徽章:
2
2015年辞旧岁徽章
日期:2015-03-03 16:54:152015年迎新春徽章
日期:2015-03-04 09:56:11
发表于 2014-12-22 13:12 来自手机 |显示全部楼层
我使用的都是nstr???版本的,带长度参数

论坛徽章:
323
射手座
日期:2013-08-23 12:04:38射手座
日期:2013-08-23 16:18:12未羊
日期:2013-08-30 14:33:15水瓶座
日期:2013-09-02 16:44:31摩羯座
日期:2013-09-25 09:33:52双子座
日期:2013-09-26 12:21:10金牛座
日期:2013-10-14 09:08:49申猴
日期:2013-10-16 13:09:43子鼠
日期:2013-10-17 23:23:19射手座
日期:2013-10-18 13:00:27金牛座
日期:2013-10-18 15:47:57午马
日期:2013-10-18 21:43:38
发表于 2014-12-22 13:15 |显示全部楼层
搞清楚每个函数内部的处理逻辑,就不会有问题了

论坛徽章:
3
2015年辞旧岁徽章
日期:2015-03-03 16:54:152015年迎新春徽章
日期:2015-03-04 09:53:17操作系统版块每日发帖之星
日期:2016-06-12 06:20:00
发表于 2014-12-22 21:06 |显示全部楼层
zsszss0000 发表于 2014-12-22 10:46
你这个问题好难啊,需要注意的太多了
好多C程序的安全问题就是由于字符串操作的引起的


我是在linux下用c++写代码。许多时候,我都在字符串处理完后,人为刻意地在字符串后加一个  '\0';
我也想着用类似 strncpy这样带长度的,可是若是长度为变量时,是不是黑客们也可以将变量的地址或指针修改?

说实话,我加一个 '\0' ,也不敢认为就不怕被黑客们内存覆盖。只是我自己认为相对靠谱点,不致于超出字符串空间长度。

论坛徽章:
223
2022北京冬奥会纪念版徽章
日期:2015-08-10 16:30:32操作系统版块每日发帖之星
日期:2016-05-10 19:22:58操作系统版块每日发帖之星
日期:2016-02-18 06:20:00操作系统版块每日发帖之星
日期:2016-03-01 06:20:00操作系统版块每日发帖之星
日期:2016-03-02 06:20:0015-16赛季CBA联赛之上海
日期:2019-09-20 12:29:3219周年集字徽章-周
日期:2019-10-01 20:47:4815-16赛季CBA联赛之八一
日期:2020-10-23 18:30:5320周年集字徽章-20	
日期:2020-10-28 14:14:2615-16赛季CBA联赛之广夏
日期:2023-02-25 16:26:26CU十四周年纪念徽章
日期:2023-04-13 12:23:10操作系统版块每日发帖之星
日期:2016-05-10 19:22:58
发表于 2014-12-23 10:54 |显示全部楼层
你用最新的编译器,
编译一下,一切就都出来了。。strcpy这函数不如memcpy划算

论坛徽章:
17
处女座
日期:2013-08-27 09:59:352015亚冠之柏太阳神
日期:2015-07-30 10:16:402015亚冠之萨济拖拉机
日期:2015-07-29 18:58:182015年亚洲杯之巴勒斯坦
日期:2015-03-06 17:38:17摩羯座
日期:2014-12-11 21:31:34戌狗
日期:2014-07-20 20:57:32子鼠
日期:2014-05-15 16:25:21亥猪
日期:2014-02-11 17:32:05丑牛
日期:2014-01-20 15:45:51丑牛
日期:2013-10-22 11:12:56双子座
日期:2013-10-18 16:28:17白羊座
日期:2013-10-18 10:50:45
发表于 2014-12-23 14:37 |显示全部楼层
回复 1# mini_peng


    应该尽量使用strncat、strncpy来代替strcat和strcpy,在参数上指定长度从一定程度上能够抑制缓冲区益处问题,如果非要由库函数本身来提供安全检查的话只能根据平台使用不同平台的安全增强版本的函数,比如说BSD下的strlcpy,strlcat和Windows(Visual Studio C++)的Security-Enhanced Versions of CRT Functions(strcat_s,strcat_s),程序要是考虑可移植性的话最好使用带n版本的函数,并且coding的时候保证长度不会越界。
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP