C的“坏”function与他们的“好”替代品

在过去，大部分string函数都没有边界检查。 当然，他们不能只是删除旧的函数，或者修改它们的签名来包含一个上限，这会破坏兼容性。 现在，对于几乎所有这些function，都有一个可选的“n”版本。 例如：

 strcpy -> strncpy strlen -> strnlen strcmp -> strncmp strcat -> strncat strdup -> strndup sprintf -> snprintf wcscpy -> wcsncpy wcslen -> wcsnlen 

和更多。

编辑2013-12-03：

另请参阅https://github.com/leafsr/gcc-poison这是一个创build头文件的项目，如果您使用不安全的函数，则会导致gcc报告错误。;

是的，fgets（，STDIN）是gets（）的一个很好的select，因为它需要一个size参数。

scanf（）在某些情况下被认为是有问题的，而不是直接的“坏”，因为如果input不符合预期的格式，就不可能合理地恢复（它不会让你倒带input并尝试再次）。 如果你可以放弃格式不正确的input，这是可用的。 这里的“更好的”select是使用像fgets（）或fgetc（）这样的input函数来读取input块，然后使用sscanf（）对其进行扫描，或者使用strchr（）和strtol（）等string处理函数对其进行parsing。 另请参阅下面的scanf（）中的“％s”转换说明符的具体问题。

这不是一个标准的C函数，但是BSD和POSIX函数mktemp（）通常是不可能安全使用的，因为在testing文件的存在和创build它之间总会有竞争条件。 mkstemp（）或tmpfile（）是很好的替代品。

strncpy（）是一个有点棘手的函数，因为如果没有空间的话，它不会终止目的地。 你可以通过把nul-terminator自己添加到目的地，或者把目的地设置成一个空string，然后用strncat（）来解决这个问题。

在某些情况下，atoi（）可能是一个不好的select，因为你不能分辨出转换出现错误的时间（例如，如果数字超出了int的范围）。 使用strtol（）如果这对你很重要。

strcpy（），strcat（）和sprintf（）会遇到与gets（）类似的问题 – 它们不允许指定目标缓冲区的大小。 至less在理论上，仍然有可能安全地使用它们，但是使用strncat（）和snprintf（）代替你可以使用strncpy（），但是可以参考上文）。 在同一主题下，如果使用scanf（）系列函数，请不要使用普通的“％s” – 指定目标的大小，例如。 “％200S”。

strtok（）通常被认为是邪恶的，因为它在调用之间存储状态信息。 不要试图在multithreading环境下运行！

严格来说，有一个非常危险的function。 它是gets（），因为它的input不在程序员的控制之下。 这里提到的所有其他function都是安全的。 “好”和“坏”归结为防御性编程，即先决条件，后置条件和样板代码。

以strcpy（）为例。 它有一些先决条件，程序员必须在调用函数之前完成。 两个string都必须是有效的，非NULL指针指向零终止的string，并且目的地必须提供足够的空间，并在size_t范围内具有最终的string长度。 另外，两个string不允许重叠。

这是相当多的先决条件，没有一个是由strcpy（）检查。 程序员必须确定他们已经完成，否则他必须在调用strcpy（）之前用附加的样板代码明确地testing它们：

 n = DST_BUFFER_SIZE; if ((dst != NULL) && (src != NULL) && (strlen(dst)+strlen(src)+1 <= n)) { strcpy(dst, src); } 

已经默默地假定非重叠和零终止的string。

strncpy（）确实包含了一些这样的检查，但是它增加了另一个后置条件，程序员在调用函数之后必须注意，因为结果可能不是零终止的。

 strncpy(dst, src, n); if (n > 0) { dst[n-1] = '\0'; } 

为什么这些function被认为是“坏”？ 因为当程序员假定错误的有效性时，他们需要为每个调用添加额外的样板代码以确保安全，程序员往往会忘记这个代码。

甚至反驳它。 以printf（）系列为例。 这些函数返回一个表示错误和成功的状态。 谁检查输出到stdout或stderr是否成功？ 有一种说法，即当标准频道不工作时你什么也做不了。 那么，救援用户数据和终止与错误指示退出代码的程序呢？ 而不是可能的替代scheme，以后用损坏的用户数据进行崩溃和刻录。

在一个时间和金钱有限的环境中，你总是需要多less安全网，以及由此产生的最坏情况？ 如果它是str函数的缓冲区溢出，那么禁止它们是有意义的，并且可能已经在内部提供了安全networking的包装函数。

关于这个的最后一个问题是：什么使你确信你的“好”替代品真的很好 ？

任何不取最大长度参数的函数，而是依赖于结束标记（例如许多“string”处理函数）。

任何维护呼叫之间状态的方法。

• sprintf是坏的，不检查大小，使用snprintf
• gmtime ， localtime – use gmtime_r ， localtime_r

为了补充一些关于这里的大多数人忘了提及。 strncpy会导致性能问题，因为它将缓冲区清除到给定的长度。

 char buff[1000]; strncpy(buff, "1", sizeof buff); 

将复制1个字符并用0覆盖999个字节

我更喜欢strclpy的另一个原因（我知道strlcpy是一个BSDism，但它很容易实现，没有理由不使用它）。

scanf()不好，因为它不防止缓冲区溢出。 我最近才知道这一点。

查看第7页（PDF第9页） SAFECode Dev实践

编辑：从页面 –

strcpy家庭
strncpy家庭
strcat家庭
scanf家庭
sprintf家族
得到家人

strcpy – 再次！

大多数人都认为strcpy是危险的，但strncpy只是很less有用的替代品。 在任何情况下，当你需要截断一个string时，通常很重要，因此通常需要检查源stringanwyay的长度。 如果是这种情况，通常memcpy是更好的替代品，因为您确切知道要复制多less个字符。

例如截断是错误的：

 n = strlen( src ); if( n >= buflen ) return ERROR; memcpy( dst, src, n + 1 ); 

允许截断，但是必须返回字符数，以便调用者知道：

 n = strlen( src ); if( n >= buflen ) n = buflen - 1; memcpy( dst, src, n ); dst[n] = '\0'; return n; 

我会说scanf是有时候，更确切地说，当你真的需要阅读一些快速的东西。 它比“cin更快”。

我记得国际信息学奥林匹克（IOI）的一个任务，那就是你需要使用scanf ，因为cin花了太多的时间。

strcpy（） – 您应该使用strncpy来显式定义要复制的字节数，并避免缓冲区溢出。

Bah …华夫饼。 这些function是不安全的，因为程序员是骨头。 这有什么不好？

 char msg[100] = {'\0'}; int num = 10; //obtain num however sprintf(msg, "There are %d items for sale", num); 

只要string可以采用有符号整数的最小/最大值的长度，我不明白这是不好还是不安全。 程序员是不安全的，而不是function….