Ce qui rend une bibliothèque C standard fonction dangereux, et quelle est l'alternative?

Lors de l'apprentissage de C I viennent régulièrement dans toutes les ressources qui recommandent de certaines fonctions (par exemple,gets()) ne doivent jamais être utilisés, car ils sont difficiles ou impossibles à utiliser en toute sécurité.

Si la bibliothèque C standard contient un certain nombre de ces de "ne jamais utiliser les fonctions d', il semble nécessaire d'apprendre une liste d'entre eux, ce qui les rend dangereux, et que faire à la place.

Jusqu'à présent, j'ai appris que les fonctions dont:

  • Ne peut être empêché de l'écrasement de la mémoire
  • Ne sont pas garantis à zéro à la fin d'une chaîne
  • Maintenir interne de l'état entre les appels

sont communément considérés comme étant dangereux à utiliser. S'il existe une liste de fonctions qui présentent ces comportements? Il existe d'autres types de fonctions, qui sont impossibles à utiliser en toute sécurité?

  • La liste complète de securecoding : securecoding.cert.org/confluence/display/seccode/...
  • La Question est en cours de discussion sur meta et peut attirer l'attention inhabituelle meta.stackoverflow.com/questions/385216/...
  • Il y a des énergumènes comme setjmp() et longjmp() qui n'ont pas été mentionnés; ils sont à la problématique en général, en particulier pour l'origine l'utilisation prévue de saut entre la procédure en cours et une autre procédure encore sur la pile d'appel au-dessus de la procédure en cours. Ils sont difficiles à utiliser, vraiment bien. Traitement du Signal peut également être problématique. Le standard C règles sont très restrictives; POSIX règles sont plus sensibles.
  • Cela dépend beaucoup du contexte. MISRA C des directives de codage (à l'origine pour les systèmes embarqués dans les voitures — MISRA est le Moteur de l'Industrie de la Fiabilité des Logiciels de l'Association) s'opposent à l'utilisation de malloc() et les amis, et les hors la loi de la variable de tableaux de longueur, et la flexibilité des membres du groupe. Il y a des raisons pour le faire dans le cadre de laquelle les lignes directrices ont été rédigées. Ces interdits ne sont pas nécessairement utiles ailleurs.
InformationsquelleAutor |
  1. 46

    Dans les vieux jours, la plupart des fonctions de chaîne n'avait pas de vérification des limites. Bien sûr ils ne pouvaient pas juste supprimer les anciennes fonctions, ou de modifier leurs signatures afin d'inclure une limite supérieure, qui permettrait de casser la compatibilité. Maintenant, pour la presque totalité de ces fonctions, il existe une autre version "n". Par exemple:

    strcpy -> strncpy
strlen -> strnlen
strcmp -> strncmp
strcat -> strncat
strdup -> strndup
sprintf -> snprintf
wcscpy -> wcsncpy
wcslen -> wcsnlen

    Et plus.

    Voir aussi https://github.com/leafsr/gcc-poison qui est un projet de création d'un fichier d'en-tête qui provoque la gcc pour signaler une erreur si vous utilisez une mauvaise fonction.

    • strncpy ne sont pas ce que vous devriez être en train de changer pour soit. Prenez l'exemple de la copie "bonjour" dans un char[5], avec la taille des param de 5. Cela se traduit dans le char[5] ne sont pas NULL! Utilisation strlcpy ou l'équivalent s'il vous plaît! Ou, si vous devez utiliser quelque chose comme strncpy, réglez TOUJOURS le même paramètre à 1 de moins que le max taille de la mémoire tampon et manuellement NULL résilier vous-même. usenix.org/events/usenix99/millert.html
    • Notez que strlen(), strcmp() et strdup() sont sûres. Le " n " alternatives vous donner des fonctionnalités supplémentaires.
    • strlcpy est un BSDism - standard C solution consiste à définir dest[0] = '\0'; et ensuite appeler strncat() - contrairement à strncpy(), strncat() est toujours nul,-met fin à la destination.
    • Je suppose que vous vouliez dire dest[n] (Où n = 4 pour char[5]), depuis la création de la le premier char à null ne s'arrête pas à la fin NULL problème lors de la copie des tampons de taille maximale. C'est pourquoi j'ai mis le paramètre à 1 de moins que le max taille de la mémoire tampon et manuellement NULL résilier vous-même"
    • Nan, je voulais dire dest[0] = '\0'; strncat(dest, source, dest_size - 1); - l'idée est d'utiliser strncat(), car elle est saine d'esprit destination de terminaison de comportement.
    • Légère mise en garde: strncpy() ne fait pas que copier jusqu'à n caractères d'une chaîne, mais aussi des plaquettes avec NUL caractères jusqu'à la longueur n si la chaîne est plus courte que l'azote. Cela peut être un énorme gain de performance si vous avez affecté les tampons de grandes "pour être sûr", mais normalement une poignée de petites chaînes (par exemple, la copie des noms de fichiers de la mémoire tampon de taille PATH_MAX, qui est généralement 4K). [Et, oui, je sais PATH_MAX est obsolète].
    • Au lieu de coucher avec mal conçu fonctions de bas niveau pour manipuler des tableaux de char pour la chaîne de traitement, il fait beaucoup plus de sens d'utiliser une bibliothèque pour un niveau plus élevé de la chaîne de l'abstraction.
    • Absolument, je suis d'accord. Mais C toujours ne comprend pas un standard de la bibliothèque string, autre que null char* et la-dessus (et d'autres) les fonctions de manipulation de
    • Et, si vous êtes sur MSVC, *_s variantes (par exemple,strcpy_s/strncpy_s). La honte ils ne sont pas plus largement utilisé, car strncpy est toujours ouverte pour du programmeur dérapages et n'est donc pas entièrement sûr de dépassements de la mémoire tampon.
    • Notez qu'il apparaît que "strnlen()" est un non-standard de la fonction (ne faisant pas partie de C99). Certaines implémentations peuvent l'avoir, d'autres peuvent ne pas: cboard.cprogramming.com/c-programming/...

    InformationsquelleAutor Adam Batkin
  2. 34

    Oui, fgets(..., ..., STDIN) est une bonne alternative à gets(), parce qu'il prend un paramètre de taille (gets() a en effet été retiré de la norme C entièrement en C11). Notez que fgets() n'est pas exactement une baisse-dans le remplacement pour gets(), parce que les anciens comprendront la résiliation de \n personnage si il y avait de la place dans la mémoire tampon pour une ligne complète à lire.

    scanf() est considérée comme problématique dans certains cas, plutôt que de tout droit sortie de "mal", parce que si l'entrée n'est pas conforme au format attendu qu'il peut être impossible de récupérer judicieusement (il ne vous laisse pas rembobiner la saisie et essayez à nouveau). Si vous pouvez simplement abandonner sur une mauvaise mise en forme d'entrée, il est utilisable. Une "meilleure" alternative ici est d'utiliser une fonction d'entrée comme fgets() ou fgetc() pour lire des morceaux de l'entrée, puis l'analyser avec sscanf() ou analyser avec la manipulation des chaînes de fonctions comme strchr() et strtol(). Voir aussi ci-dessous pour un problème spécifique avec le "%s" indicateur de conversion en scanf().

    Ce n'est pas une norme en fonction de C, mais la BSD et POSIX fonction mktemp() est généralement impossible à utiliser en toute sécurité, car il y a toujours un TOCTTOU condition de concurrence entre le test de l'existence du fichier et ensuite de le créer. mkstemp() ou tmpfile() sont de bons substituts.

    strncpy() est un peu délicate fonction, car il n'a pas la valeur null à la fin de la destination, si il n'y avait pas de place pour elle. Malgré l'apparente nom générique, cette fonction a été conçue pour créer un style spécifique de la chaîne qui diffère de l'ordinaire C chaînes - chaînes stockées dans un champ de largeur fixe où le terminateur null n'est pas nécessaire si la chaîne remplit le champ exactement (UNIX d'origine des entrées de répertoire ont été de ce style). Si vous ne disposez pas d'une telle situation, vous devriez probablement éviter cette fonction.

    atoi() peut être un mauvais choix dans certaines situations, parce que vous ne pouvez pas dire quand il y a une erreur de faire la conversion (par exemple, si le nombre de dépassement de la plage d'un int). Utilisation strtol() si c'est important pour vous.

    strcpy(), strcat() et sprintf() souffrent d'un problème similaire à gets() - ils ne permettent pas de spécifier la taille de la mémoire tampon de destination. Il est toujours possible, au moins en théorie, pour une utilisation en toute sécurité - mais vous êtes beaucoup préférable d'utiliser strncat() et snprintf() à la place (vous pouvez utiliser strncpy(), mais voir ci-dessus). Notez que tandis que la n pour snprintf() est la taille de la mémoire tampon de destination, le n pour strncat() est le nombre maximum de caractères à ajouter et ne comprend pas le terminateur null. Une autre alternative, si vous avez déjà calculé la chaîne appropriée et la taille du buffer, est memmove() ou memcpy().

    Sur le même thème, si vous utilisez le scanf() famille de fonctions, de ne pas utiliser une plaine "%s" - spécifier la taille de la destination, par exemple "%200s".

    • Personnellement, je pense que c'est une meilleure solution à la question, car il donne plus d'explication plutôt que juste une liste, et elle a répondu à des questions sur les gets() et scanf().
    • Notez que fgets() conserve le caractère de saut de ligne alors que gets() ne le fait pas. Cela signifie que vous devez utiliser une opération telle que la if (fgets(buffer, sizeof(buffer), stdin) != NULL) { buffer[strcspn(buffer, "\n")] = '\0'; …use buffer without newline… }. Le strcspn() fonction a toujours été une partie de la Norme C; il est sûr que la mémoire tampon ne ou ne contient pas un retour à la ligne (et elles ne contiennent pas un saut de ligne si la ligne est trop longue pour tenir dans la mémoire tampon, ou si le fichier est terminée sans saut de ligne).
    • À l'aide de strncat() correctement est dur. Par exemple: char dst[16] = ""; char *src = "ABCDEFGHIJKLMNOPQRSTUVWXYZ"; strncat(dst, src, sizeof(dst)); donne un dépassement de la mémoire tampon, même si vous avez utilisé strncat() (ou plutôt, parce que vous avez mal utilisé strncat()). Il écrit un octet null après la fin du tableau. Si vous en savez assez pour utiliser strncat() en toute sécurité, vous en savez assez pour une meilleure utilisation de solutions de rechange (memmove(), memcpy(), etc).
    • J'ai ajouté une note qui fgets() n'est pas une baisse-dans le remplacement pour gets(). Pour strncat() je ne suis pas sûr que j'aurais de la caractériser à l'aide de sizeof dst - 1 au lieu de sizeof dst comme "dur", mais - vous simplement devez lire la documentation et de comprendre la fonction que vous utilisez. Je suis d'accord que dans la plupart des cas lorsque vous surveiller soigneusement les longueurs des chaînes et le reste de l'espace tampon impliquer que vous finirez par vous trouver memmove() / memcpy() sont la plupart des fonctions appropriées.
    InformationsquelleAutor caf
  3. 20

    strtok() est généralement considéré comme le mal, car il stocke les informations d'état entre les appels. N'essayez pas de course QUE dans un environnement multithread!

    • alternative strtok_r
    • Il est également considéré comme un peu de noix en raison de la façon dont il modifie son premier argument.
    • De nombreux CRT implémentations utilisent ces variables de garder ce genre d'informations d'état, de sorte qu'il pourrait techniquement être sûr en fonction de la plate-forme, mais c'est définitivement pas une bonne idée.
    • mscv strtok() utilise le protocole TLS pour stocker l'état d'info, donc c'thread-safe
    • La sécurité des threads n'est pas le seul problème avec strtok(). Si votre code à l'aide de strtok() appels des fonctions, alors que c'est l'analyse avec strtok(), aucun de ceux que l'on appelle les fonctions peuvent utiliser strtok() sans vissage votre fonction. De même, aucune fonction de bibliothèque peuvent utiliser strtok() sans vous aviser qu'il n'parce que tout appelant qui est également à l'aide de strtok() sera foutu. Ce sont des converse propositions, bien sûr. Donc, vous devez être extrêmement prudent si vous utilisez strtok(). Il est très bien pour les jouets des programmes où vous êtes en charge de l'intégralité du code; il est rarement bon pour la production de programmes de qualité.
    • il y a un réentrant alternative: strtok_r

    InformationsquelleAutor Dave Markle
  4. 11

    Strictement parlant, il est vraiment dangereux de la fonction. Il est gets() parce que son entrée n'est pas sous le contrôle du programmeur. Toutes les autres fonctions mentionnées ici sont sûrs d'eux-mêmes. Les "bons" et "mauvais" se résume à une programmation défensive, à savoir les préconditions, postconditions et de code réutilisable.

    Prenons strcpy() par exemple. Il a certaines conditions pour que le programmeur doit s'acquitter de avant l'appel de la fonction. Les deux chaînes doivent être valides, non pointeurs NULL à zéro des chaînes terminées, et la destination doivent fournir suffisamment d'espace avec une finale de longueur de chaîne à l'intérieur de la gamme de size_t. En outre, les chaînes de caractères ne sont pas autorisés à se chevaucher.

    Qui est tout à fait beaucoup de conditions préalables, et aucun d'eux n'est vérifié par strcpy(). Le programmeur doit s'assurer qu'elles sont remplies, ou il doit explicitement les tester avec d'autres code réutilisable avant d'appeler strcpy():

    n = DST_BUFFER_SIZE;
if ((dst != NULL) && (src != NULL) && (strlen(dst)+strlen(src)+1 <= n))
{
    strcpy(dst, src);
}

    Déjà silencieusement en supposant que le non-recouvrement et à zéro des chaînes terminées.

    strncpy() ne comprennent certaines de ces vérifications, mais il ajoute une autre postcondition le programmeur doit prendre soin de après l'appel de la fonction, parce que le résultat peut ne pas être égale à zéro terminée.

    strncpy(dst, src, n);
if (n > 0)
{
    dst[n-1] = '
    strncpy(dst, src, n);
if (n > 0)
{
dst[n-1] = '\0';
}
    '    ;
}

    Pourquoi ces fonctions considéré comme "mauvais"? Car ils auront besoin supplémentaire de code réutilisable pour chaque appeler pour vraiment être sur le côté sûr, lorsque le programmeur suppose tort à propos de la validité, et les programmeurs ont tendance à oublier ce code.

    Ou même de s'y opposer. Prendre la printf() de la famille. Ces fonctions renvoient un état qui indiquent l'erreur et de succès. Qui vérifie si la sortie vers stdout ou stderr réussi? Avec l'argument que vous ne pouvez pas faire quoi que ce soit quand le standard des canaux ne sont pas de travail. Eh bien, que sur le sauvetage de données de l'utilisateur et termine le programme avec une erreur indiquant un code de sortie? Au lieu de la solution de rechange possible de crash et brûler, plus tard, de corruption des données de l'utilisateur.

    Dans un temps et de l'argent limitée de l'environnement, il est toujours la question de savoir combien de filets de sécurité que vous voulez vraiment et quel est le pire scénario? Si c'est un dépassement de tampon dans le cas de la str-fonctions, alors il est logique de les interdire et probablement fournir des fonctions wrapper avec les filets de sécurité déjà à l'intérieur.

    Une dernière question à ce sujet: Ce qui fait de vous assurer que vos "bonnes" solutions de rechange sont vraiment bonne?

    • Ces fonctions sont mauvais parce qu'il est facile d'écrire du code bogué. Pire, le code bogué est souvent qu'ils le type qui présente des failles de sécurité. Bien sûr, ils ont souvent peut être utilisé correctement et en toute sécurité, mais il est trop facile de les utiliser correctement. Je sais que ce à la fois de l'expérience et des études de Microsoft a fait sur des millions de lignes de code. MS n'interdit pas l'utilisation des fonctions "juste comme ça". Ils le font car ils ont du mal statistiques sur les types de code à cause de bugs (en particulier les bogues de sécurité). C'est dur de données si oui ou non Microsoft est une entreprise que vous aimez ou de respect.
    • Et aussi loin que strncpy() est concerné, ce n'est pas une "bonne" ou de la fonction de sécurité. C'est interdit par Microsoft et dans mon code.
    • Juste ce que j'ai dit plus avec beaucoup de détails. La "méchanceté" de la fonction dépend de la quantité et du type de conditions, le programmeur doit s'assurer, de leur localisation (la mémoire de destination peut être définie n'importe où dans le programme) et de la gravité des erreurs possibles lors fait de mal. Pas étonnant que la chaîne de fonctions sur le dessus. Et je n'ai pas utiliser strncpy() moi-même, mais pour la raison que je considère comme un silencieux troncature de chaîne sans aucune indication que cela s'est passé comme une erreur.
    • BTW, le lire à nouveau après 3 mois, j'ai confondu strcpy et strcat. Mais personne ne se souciait, de toute façon. 😉
    • Très joli post +1. Je me demande si vous êtes de la même Sécurisé qui, invariablement, à condition (offre?) définitive et fiable d'informations sur la Joel sur les Logiciels de forums ?
    • Trompeuse post -1. Dans le monde réel, l'importance de ne jamais l'appel de ces obsolète fonctions est réel. Ajout de toutes les "standard" est une avenue pour les erreurs d'entrée. Les "préalables" vous vérifier strcpy() sont stupides; pour une chose, pourquoi ajouter de la longueur de la source; d'autre part, la vérification de la valeur NULL est inutile et trompeur code.
    • Ah, strncpy est conçu pour un certain vieux (pas tout à fait obsolète) format de stockage où le null de fin est omis si la chaîne correspond à peine sans elle. Pour le récupérer dans une variable de mémoire est un autre strncpy appel sur un autre tampon et ajouter la fuite zéro vous-même. Étant donné que les tailles ont toujours été des constantes c'était strncpy(membuf, strptr->diskbuf, bufsiz)[bufsiz] = 0; bref, strncpy fait ce qu'il avait prévu de faire, dont vous n'avez probablement jamais besoin de le faire.
    • Le strcpy() wrapper code est incorrect. Il est de vérifier pour un hybride de strcat() et strcpy(); la longueur de la condition de contrôle est incorrect pour strcpy(), mais la copie de code est incorrect pour strcat().

    InformationsquelleAutor
  5. 7

    Une fonction qui ne prend pas en prendre un maximum de paramètres de longueur et repose plutôt sur la fin-de - marqueur à être présent (comme beaucoup de "chaîne" des fonctions de gestion).

    Toute méthode qui gère l'état entre les appels.

    • Pas toujours. Strlen s'appuie sur la fin de marqueur encore une fonction de sécurité à utiliser.
    • Probablement plus exact de dire tout destructeur de la fonction.
    • Celui qui a des effets secondaires.
    • peut être dangereux si l'entrée n'est pas d'une fonction qui se met que la fin de la chaîne de marqueur. Si elle n'a pas, alors tous les paris sont éteints et vous aurez des infos supplémentaires, une mauvaise réponse et si vous êtes assez malheureux pour ne pas avoir un octet NUL partout après la chaîne jusqu'à ce que le premier non alloué de la page, un crash potentiel.
    InformationsquelleAutor Mitch Wheat
  6. 6
    • sprintf est mauvais, ne vérifie pas la taille, l'utilisation snprintf
    • gmtime, localtime -- use gmtime_r, localtime_r
    InformationsquelleAutor Artyom
  7. 4

    Pour ajouter quelque chose à propos de strncpy la plupart des gens ici, j'ai oublié de mentionner. strncpy peut entraîner des problèmes de performances qu'il efface la mémoire tampon à la longueur donnée.

    char buff[1000];
strncpy(buff, "1", sizeof buff);

    copie 1 char et écraser 999 octets à 0

    Une autre raison pourquoi je préfère strlcpy (je sais strlcpy est un BSDism mais il est si facile à mettre en œuvre qu'il n'y a aucune excuse pour ne pas l'utiliser).

    InformationsquelleAutor
  8. 3

    Afficher la page 7 (PDF, page 9) SAFECode Dev Pratiques

    Edit: a Partir de la page -

    strcpy famille

    strncpy famille

    strcat famille

    scanf famille

    sprintf famille

    obtient famille

    InformationsquelleAutor Dan McGrath
  9. 2

    strcpy - nouveau!

    La plupart des gens conviennent que la fonction strcpy est dangereux, mais strncpy n'est que rarement utile de remplacement. Il est généralement important que vous savez quand vous avez besoin de tronquer une chaîne de caractères dans tous les cas, et pour cette raison, vous avez généralement besoin d'examiner la longueur de la chaîne source anwyay. Si c'est le cas, généralement memcpy est le meilleur remplacement que vous savez exactement combien de caractères que vous voulez copier.

    par exemple, la troncature est erreur:

    n = strlen( src );

if( n >= buflen )
    return ERROR;

memcpy( dst, src, n + 1 );

    troncature autorisé, mais le nombre de caractères doit être retourné afin de l'appelant sait:

    n = strlen( src );

if( n >= buflen )
    n = buflen - 1;

memcpy( dst, src, n );
dst[n] = '
    n = strlen( src );
if( n >= buflen )
n = buflen - 1;
memcpy( dst, src, n );
dst[n] = '\0';
return n;
    '    ;

return n;
    InformationsquelleAutor