安全函数最全总结：字符串拷贝，内存拷贝，字符串格式化等

对于安全函数和非安全函数有几个方面需要比较：

1. 入参。安全函数会比非安全函数多一个目的缓冲区长度，这个参数一般紧跟着目的缓冲区指针，作为函数的第二个入参。
2. 函数返回值。非安全函数也就是系统函数，比如字符串拷贝函数strcpy的返回值是一个指向最终的目标字符串 dest 的指针（非安全函数不知道返回什么的时候就会返回这个）；而安全函数strcpy_s返回一个整形错误码errno_t，表示函数执行是否成功及相应的错误类型(成功时返回零，错误时返回非零值)，调用者应该校验该返回值。
3. 发生缓冲区溢出会怎么办！非安全函数由于无法检测到缓冲区溢出，因此有可能被攻击，出现安全事故；而安全函数可以检测到缓冲区溢出，并执行相应的保护措施，比如将目的缓冲区清零，避免错误的指令被执行。

下面就常用的字符串操作和内存操作相关的安全函数和非安全函数进行比较。

1. 内存拷贝函数memcpy和memcpy_s。

void *memcpy(void *str1, const void *str2, size_t n) // 从存储区 str2 复制 n 个字节到存储区 str1
errno_t memcpy_s(void* dest, size_t destMax, const void* src, size_t count) // destMax表示目的缓冲区大小

• memcpy返回一个指向目标存储区 str1 的指针；memcpy_s返回成功或错误类型；
• 当memcpy_s出现如下几种情况，会根据参数destMax确定的目的缓冲区范围清零：
  1、源缓冲区为NULL，2、拷贝长度大于目的缓冲区大小参数，3、源和目的缓冲区重叠
• 这里再多说一句，memmove函数也是内存拷贝函数，其可以在源和目的缓冲区重叠时正确地完成拷贝，拷贝完后源缓冲区将被覆盖；如果缓冲区不重叠，其作用与memcpy一样，但是效率低一些。

2. 内存初始化函数memset和memset_s.

void *memset(void *str, int c, size_t n) // 复制字符 c（一个无符号字符）到参数 str 所指向的字符串的前 n 个字符。
errno_t memset_s(void* dest, size_t destMax, int c, size_t count) // destMax表示目的缓冲区大小

• 同样，在返回值这一块：memset返回一个指向存储区 str 的指针；memset_s返回成功或错误类型；
• memcpy无法检测到缓冲区溢出，memset_s在发生缓冲区溢出时会根据目的缓冲区大小参数将目的缓冲区该范围内容初始化为入参c。

3. 字符串复制strncpy和strncpy_s

char *strncpy(char *dest, const char *src, size_t n) // 把src所指向的字符串复制到dest，最多复制 n 个字符。当 src 的长度小于 n 时，dest 的剩余部分将用空字节填充。
errno_t strncpy_s(char* strDest, size_t destMax, const char* strSrc, size_t count) // 同样，destMax表示目的缓冲区大小

• strncpy函数返回目的缓冲区指针；strncpy_s返回错误类型；
• 注意：strncpy_s函数要求，目的缓冲区最大值destMax必须要大于等于（源字符串格式化后长度，拷贝长度参数）二者最小值 + 1。这句话适用于之后基本上所有的字符串操作函数，其原因就是要保证目的缓冲区strDest的最后一个字节是’\0’，这也是字符串系列函数与内存系列的最大不同。其次这句话还蕴含一个关键点——“（源字符串格式化后长度，拷贝长度参数）二者最小值”，这就意味着参数count可以是大于目的缓冲区长度destMax的，只要源字符串 strSrc长度比destMax更短就好，之所以可以这样也是因为源字符串 strSrc是以’\0’结尾的，字符串操作在遇到’\0’之后就会停止。而内存操作就不能这样，因为内存不区分是不是’\0’，一视同仁，如果count > destMax就会发生溢出。
• 上一段话很长，但是非常重要。
• 如果strncpy_s检测到溢出，将会把目的缓冲区的第一个字节用’\0’填充，其他字节维持不变。至于为什么内存拷贝是清空整个目的缓冲区，而字符串拷贝只是清空第一个字节，我还并不清楚，可能与两个函数的实现过程有关。

4. 字符串连接strncat和strncat_s

char *strncat(char *dest, const char *src, size_t n) // 把 src 所指向的字符串追加到 dest 所指向的字符串的结尾，直到 n 字符长度为止。
errno_t strncat_s(char* strDest, size_t destMax, const char* strSrc, size_t count) // destMax表示目的缓冲区大小

• 老样子，strncat返回目的缓冲区指针；strncat_s返回0或错误类型；
• 跟strncpy_s类似，目的缓冲区大小destMax必须大于等于（目的缓冲区原有字符串长度 +（源字符串格式化后长度，连接长度参数count）二者最小值 + 1）。
• 如果strncat_s检测到溢出，将会把目的缓冲区的第一个字节用’\0’填充，其他字节维持不变。

5. 字符串分割strtok和strtok_s

char *strtok(char *str, const char *delim) // 分解字符串 str 为一组字符串，delim 为分隔符。
char* strtok_s(char* strToken, const char* strDelimit, char** context) // 函数将分割之后剩余的字符串存储在_Context变量中

• strtok这个函数首先在返回值上就不一样了，他不再像前面那些函数一样指向“毫无意义”的目的缓冲区，其返回值是指向被分割出的子字符串的指针，这个时候安全函数strtok_s就没法讲返回值改为成功或错误类型了，所以strtok_s沿用了strtok的返回值的意义，错误的时候返回NULL指针。
• 当然，strtok_s还是做了一些改进，加入了char** context这个变量，其原因是strtok在调用一遍以后，源字符串str就变成了分割出的第一个字符串，分割后剩下的内容是存储在一个静态变量中，导致strtok函数是一个多线程不安全的函数；strtok_s则将分割后剩下的字符串扔在了context中，使该函数变成线程安全的。
• 关于strtok的用法在这里不细说，请参见 https://www.cnblogs.com/zhoudingcocng/p/6554418.html

6. 字符串格式化输出snprintf和snprintf_s

int snprintf(char *str, size_t size, const char *format, ...) // 设将可变参数(...)按照 format 格式化成字符串，并将字符串复制到 str 中，size 为要写入的字符的最大数目，超过 size 会被截断。
int snprintf_s(char* strDest, size_t destMax, size_t count, const char* format, ...) // destMax表示目的缓冲区大小

• 这两个函数的返回值有些微的不同。snprintf返回的是欲写入的字符串长度；而snprintf_s返回处理的字符个数，失败则返回-1，这里主要，如果源字符串被count数目截断，虽然函数执行的结果仍然正确，但会返回-1。
• 目的缓冲区大小destMax必须大于等于（（格式化后字符串长度，格式化字符个数参数）二者最小值 + 1）
• 如果snprintf_s检测到溢出，将会把目的缓冲区的第一个字节用’\0’填充，其他字节维持不变。

大概就介绍这么多了，相信如果认真看到这你肯定也能总结出个中规律。还有一点就是本文中带n版本的函数其实还有不带n的版本，如sprintf，strcpy等，但是不推荐使用，请优先使用带n版本。