Comment prévenir scanf causant un débordement de mémoire tampon dans C?

J'utilise ce code:

while ( scanf("%s", buf) == 1 ){

Quelle serait la meilleure façon de prévenir un éventuel débordement de la mémoire tampon, de sorte qu'il peut être passé des chaînes de longueurs irrégulières?

Je sais que je peux limite de la chaîne d'entrée en appelant par exemple:

while ( scanf("%20s", buf) == 1 ){

Mais je préfère être en mesure de traiter ce que les entrées de l'utilisateur.
Ou peut-il pas être fait en toute sécurité à l'aide de scanf et que je devrais utiliser fgets?

InformationsquelleAutor goe | 2009-10-25
  1. 56

    Dans leur livre La Pratique de la Programmation (qui est bien la peine de lire), Kernighan et le Brochet de discuter de ce problème, et de le résoudre en utilisant snprintf() pour créer la chaîne avec la bonne taille de la mémoire tampon pour passer à la scanf() famille de fonctions. En effet:

    int scanner(const char *data, char *buffer, size_t buflen)
{
    char format[32];
    if (buflen == 0)
        return 0;
    snprintf(format, sizeof(format), "%%%ds", (int)(buflen-1));
    return sscanf(data, format, buffer);
}

    Note, ce qui limite encore l'entrée à la taille fournie comme "tampon". Si vous avez besoin de plus d'espace, alors vous devez faire de l'allocation de mémoire, ou de l'utilisation non-standard de la fonction de bibliothèque qui ne l'allocation de mémoire pour vous.

    Noter que la POSIX 2008 (2013) la version de la scanf() famille de fonctions prend en charge un format de modificateur m (affectation de l'allocation de caractères) pour la chaîne entrées (%s, %c, %[). Au lieu de prendre une char * argument, il faut un char ** argument, et il alloue l'espace nécessaire pour la valeur qu'elle lit:

    char *buffer = 0;
if (sscanf(data, "%ms", &buffer) == 1)
{
    printf("String is: <<%s>>\n", buffer);
    free(buffer);
}

    Si le sscanf() fonction ne parvient pas à satisfaire à toutes les spécifications de conversion, puis toute la mémoire qui lui est allouée pour %ms-comme les conversions est libéré avant que la fonction retourne.

    • N'est-il pas buflen-1?
    • Oui, il devrait être buflen-1 — je Vous Remercie. Ensuite, vous avez à vous soucier de unsigned underflow (emballage pour un assez grand nombre), d'où la if test. Je serais bien tenté de la remplacer avec une assert(), ou de le sauvegarder avec un assert() avant la if que les feux de cours du développement, si quelqu'un est assez imprudente pour passer de 0 à la taille. Je n'ai pas examiné attentivement la documentation pour savoir ce qu' %0s moyens de sscanf() — le test peut-être mieux comme if (buflen < 2).
    • Donc snprintf écrit des données dans un tampon de chaîne, et sscanf lit de qui a créé la chaîne. Où, exactement, est-ce à remplacer scanf en ce qu'il lit l'entrée standard stdin?
    • Il est également assez déroutant que vous utilisez le mot "format" pour votre chaîne de résultat et passer ainsi dans "format" comme premier argument de snprintf pourtant, ce n'est pas le paramètre format.
    • Ce code est écrit de telle sorte que les données à numériser est dans le paramètre data et donc sscanf() est approprié. Si vous voulez lire l'entrée standard au lieu de cela, déposez le data de paramètres et appel scanf() à la place. Comme pour le choix du nom format pour la variable, qui devient la chaîne de format dans l'appel à sscanf(), vous avez le droit de le renommer si vous le souhaitez, mais son nom n'est pas inexact. Je ne suis pas sûr de ce que la variante a du sens; ne serait - in_format le rendre plus clair? Je ne suis pas la planification de la changer dans ce code, vous pouvez, si vous utilisez cette idée dans votre propre code.
    • Par ailleurs, le snprintf() prend le nombre de buflen (disons 256), et crée une chaîne de caractères dans la variable format qui est équivalent à "%255s". Puis sscanf() lit à partir de la chaîne de data à l'aide de format comme chaîne de format (spécification de conversion) pour contrôler la façon dont les données sont interprétées, avec le résultat étant écrite dans la variable buffer. Ainsi, le premier espace blanc dans data est ignoré et le premier " mot " est copié dans buffer sans risque de débordement de la mémoire tampon, tant que la zone pointée par buffer a au moins autant d'espace que buflen dit qu'il a fait.
    • Notez également que MSVC au moins jusqu'à 2013, ne sont pas conformes aux normes de POSIX, donc le format le modificateur "%ms" n'est pas disponible
    • Il est vrai encore sous macOS Sierra 10.12.5 (jusqu'à 2017-06-06) — le scanf() sur macOS n'est pas documentée que le soutien %ms, si utiles qu'il serait.

    InformationsquelleAutor Jonathan Leffler
  2. 29

    Si vous utilisez gcc, vous pouvez utiliser la GNU-extension a spécificateur d'avoir scanf() alloue de la mémoire pour que vous maintenez enfoncé le d'entrée:

    int main()
{
  char *str = NULL;

  scanf ("%as", &str);
  if (str) {
      printf("\"%s\"\n", str);
      free(str);
  }
  return 0;
}

    Edit: Que Jonathan l'a souligné, vous devriez consulter le scanf homme de pages que le prescripteur peut être différent (%m) et vous pourriez avoir besoin pour permettre à certaines définit lors de la compilation.

    • C'est plus une question de l'utilisation de la glibc (la Bibliothèque C de GNU) que de l'utilisation du Compilateur C de GNU.
    • Et de noter que la POSIX 2008 standard fournit la m modificateur de faire le même travail. Voir scanf(). Vous aurez besoin de vérifier si les systèmes que vous utilisez ne l'appui de cette modification.
    • GNU (que l'on trouve sur Ubuntu 13.10, en tout cas) prend en charge %ms. La notation %a est synonyme de %f (sur la production, il demande hexadécimal de données à virgule flottante). La GNU page de man pour scanf() dit: _ Il n'est pas disponible si le programme est compilé avec gcc -std=c99 ou gcc -D_ISOC99_SOURCE (sauf _GNU_SOURCE est également spécifié), auquel cas le a est interprété comme un rédacteur de devis pour les nombres à virgule flottante (voir ci-dessus)._
    InformationsquelleAutor John Ledbetter
  3. 9

    La plupart du temps une combinaison de fgets et sscanf fait le travail. L'autre chose serait d'écrire votre propre analyseur, si l'entrée est bien formaté. Notez également votre deuxième exemple a besoin d'un peu de modification pour être utilisé en toute sécurité:

    #define LENGTH          42
#define str(x)          # x
#define xstr(x)         str(x)

/* ... */ 
int nc = scanf("%"xstr(LENGTH)"[^\n]%*[^\n]", array);

    Ci-dessus rejette le flux d'entrée jusqu'à, mais pas y compris le retour à la ligne (\n) caractère. Vous aurez besoin d'ajouter un getchar() à consommer. Également vérifier si vous avez atteint la fin-de-stream: 

    if (!feof(stdin)) { ...

    et c'est à ce sujet.

    • Pourriez-vous mettre le feof code dans un contexte plus large? Je me demande depuis que la fonction est souvent utilisée à tort.
    • array doit être char array[LENGTH+1];
    InformationsquelleAutor dirkgently
  4. 4

    Directement à l'aide de scanf(3) et de ses variantes, qui pose un certain nombre de problèmes. Généralement, les utilisateurs et les non-interactive de cas d'utilisation sont définis en termes de lignes de commentaires. Il est rare de voir un cas où, si suffisamment d'objets ne sont pas trouvés, d'autres lignes permettra de résoudre le problème, mais c'est le mode par défaut pour le scanf. (Si un utilisateur ne savais pas pour entrer un numéro sur la première ligne, de deuxième et de troisième ligne ne sera probablement pas aider.)

    Au moins si vous fgets(3) vous savez combien de lignes d'entrée de votre programme aura besoin, et vous n'aurez pas de dépassements de la mémoire tampon...

    InformationsquelleAutor DigitalRoss
  5. 1

    Limitation de la longueur de l'entrée n'est certainement plus facile. Vous pouvez accepter un arbitrairement au long de la saisie par l'utilisation d'une boucle, la lecture d'un bit à la fois, ré-affectation de l'espace pour la chaîne de caractères que nécessaire...

    Mais c'est beaucoup de travail, de sorte que la plupart des programmeurs C juste couper l'entrée à une certaine longueur arbitraire. Je suppose que vous le savez déjà, mais l'utilisation de fgets() ne va pas vous permettre d'accepter l'arbitraire quantités de texte - vous allez encore avoir besoin de fixer une limite.

    • Si quelqu'un sait comment le faire avec scanf alors?
    • En utilisant fgets dans une boucle peut vous permettre d'accepter l'arbitraire quantités de texte - il suffit de garder realloc()ing de votre tampon.
    InformationsquelleAutor Mark Bessey
  6. 1

    Ce n'est pas que beaucoup de travail pour rendre une fonction de l'allocation de la mémoire nécessaire pour votre chaîne.
    C'est un peu c-la fonction que j'ai écrit il y a quelques temps, j'ai toujours l'utiliser pour lire dans les chaînes.

    Il sera de retour le lire une chaîne ou si une erreur de mémoire se produit NULLE.
    Mais soyez conscient que vous avez à free() de votre chaîne et de toujours vérifier pour la valeur de retour.

    #define BUFFER 32

char *readString()
{
    char *str = malloc(sizeof(char) * BUFFER), *err;
    int pos;
    for(pos = 0; str != NULL && (str[pos] = getchar()) != '\n'; pos++)
    {
        if(pos % BUFFER == BUFFER - 1)
        {
            if((err = realloc(str, sizeof(char) * (BUFFER + pos + 1))) == NULL)
                free(str);
            str = err;
        }
    }
    if(str != NULL)
        str[pos] = '
    #define BUFFER 32
char *readString()
{
char *str = malloc(sizeof(char) * BUFFER), *err;
int pos;
for(pos = 0; str != NULL && (str[pos] = getchar()) != '\n'; pos++)
{
if(pos % BUFFER == BUFFER - 1)
{
if((err = realloc(str, sizeof(char) * (BUFFER + pos + 1))) == NULL)
free(str);
str = err;
}
}
if(str != NULL)
str[pos] = '\0';
return str;
}
    '    ;
    return str;
}
    • sizeof (char) est, par définition,1. Vous n'avez pas besoin de lui ici.
    • Habituellement, il est de bonne pratique de garder le pointeur de l'allocation/libération au même niveau, ce qui signifie que votre fonction ne doit pas allouer de la mémoire sur son propre, depuis l'appelant a alors de le libérer. La plupart de la bibliothèque standard / fonctions posix adhérer à ce principe par retourner une chaîne statique (comme strerror(3)) ou de s'attendre à un pré-alloués chaîne transmise (commestrerror_r(3) - ou scanf(3) ) ...
    InformationsquelleAutor