翻译《有关编程、重构及其他的终极问题?》——32.危险的pritnf

最新推荐文章于 2018-09-17 09:26:18 发布
最新推荐文章于 2018-09-17 09:26:18 发布
阅读量171 收藏
点赞数
分类专栏: 技术

翻译《有关编程、重构及其他的终极问题?》——32.危险的pritnf

标签(空格分隔):翻译 技术 C/C++
作者:Andrey Karpov
翻译者:顾笑群 - Rafael Gu
最后更新:2018年07月14日

32.危险的pritnf

下面这段代码摘自著名的TortoiseSVN项目(译者注:记得SVN流行的时候那个Windows上的小乌龟吗?)。PVS-Studio分析器对这段代码的诊断结果为:V618 It’s dangerous to call the ‘printf’ function in such a manner, as the line being passed could contain format specification. The example of the safe code: printf(“%s”, str)(译者注:大意是说用下面这种方式调用printf是危险的,因为传入的行可能包含格式化信息,安全使用方式应为:printf(“%s”, str))。

BOOL CPOFile::ParseFile(....)
{
  ....
  printf(File.getloc().name().c_str());
  ....
}

解释
当你想打印或者向一个文件写一个字符串时,很多程序员会使用如下方式书写:

printf(str);
fprintf(file, str);

一个好的程序员应该一直记住,这是一种极其不安全的方式。这是因为,如果在这个字符串中有莫名其妙的格式化信息,着就会导致程序不可预知的后果。

让我们回到之前的那个例子。如果那个文件名是“file%s%i%s.txt”,那个程序也许就会崩溃或者打印一些垃圾信息。但那也只是所有麻烦的一半。事实上,类似这种的函数调用会让程序非常脆弱——某些人可以利用它对程序进行攻击,比如利用特别注备好的字符串,某些人可以打印内存中的私有数据。

你可以在这篇文章中发现更多关于这些脆弱性的信息,花时间读读吧,我相信你会觉得有趣的,你不光会了解到相关基础的理论,还能找到实例。

正确的代码

printf("%s", File.getloc().name().c_str());

建议

类似printf()的函数能引起很多安全相关的问题,所以最好不要使用它们,可以用更现代的一些函数取代它们。比如,你可以发现boost::format或者std::stringstream就非常不错。

通常,草率的使用printf(), sprintf(), fprintf()等函数,不光是容易导致程序的不正确的执行,还会引起潜在的缺陷,这样某些人就会利用这个缺陷。

headman
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
翻译《有关编程重构及其他的终极问题?》——40.开始使用静态代码分析
老顾的记录
09-28 261
对静态代码分析的概念和使用做了一个简单介绍
翻译《有关编程重构及其他的终极问题?》——39.为何不正确的代码可以工作
老顾的记录
09-22 157
有时候,明明包含有错误的代码,但程序还是照常运行,老程序员秒懂:)这篇就举了个例子。另外,不要使用太复杂的表达式,避免不必要的麻烦。
翻译《有关编程重构及其他的终极问题?》——33.永远不要非法引用空指针
老顾的记录
07-15 209
使用的空指针,如果只是赋值,后面判断后再决定是否使用,部分程序员可能会觉得应该没事,但其实还有一定几率引发不可预知的行为,包括程序崩溃,为什么呢?你想过没有,也许你的编译器会做优化,比如把判断去除了……
翻译《有关编程重构及其他的终极问题?》——38.从今以后使用nullptr而非NULL
老顾的记录
09-17 194
使用NULL表示空指针?似乎成为C/C++的常识,但NULL常会带来一些愚蠢而且难以发现的问题,我自己这么多年编程经历中就遇到。用nullptr吧,不要再用NULL了,为什么,看文内。
翻译《有关编程重构及其他的终极问题?》——34.容易被你忽视的未定义行为
老顾的记录
07-18 252
读了这篇文章,除了你可以知道为何使用size_t轮询数组更好,而不是使用其他外,还能知道你自己的汇编有多弱。另外,这篇和前面一篇的部分,作者好像是生气的写的,应该是被很多人怼了之后写的吧:)
翻译《有关编程重构及其他的终极问题?》——27.狡猾的BSTR字符串
老顾的记录
06-20 448
随着10多年前COM被微软放弃,对应的BSTR其实也很少用到了,所以这篇文章本身来说对现在的意义不大了。
翻译《有关编程重构及其他的终极问题?》——26.潜伏的VARIANT_BOOL
老顾的记录
06-01 410
BOOL类型中TRUE的定义是多少?在C++中,有的时1,有的是0,还有的是-1……所以在出来一个不熟悉的新类型时,最好看一下实际定义的值范围。
翻译《有关编程重构及其他的终极问题?》——13.表格化的格式化
老顾的记录
01-03 470
用表格化的方式格式化一些条件判断或者用数组初始化的语句块,并且把操作符或者分隔符按照左侧对齐,可以让代码更漂亮、更直观,更重要的是,可以更快的找到代码。
翻译《有关编程重构及其他的终极问题?》——5.使用工具去分析你的代码
老顾的记录
12-04 532
如果遇到有些编程问题需要详细的了解相关文档的每一个部分,才能避免问题怎么办?去看文档吗?sorry,你得花费很多时间去看,这样就不能保证你有足够的时间去完成编程了。只有一个建议,就是直接用工具,比如PSV-Studio的静态分析器。当着这里作者好像忘了DllMain其实可以检测到被应用程序加载的状态,可以通过不同状态,调用不同的函数。
垃圾代码和优质代码的区别?(csdn)————程序.pdf
12-05
5. **其他常见问题** - **视图层的逻辑耦合**:视图层代码中混杂业务逻辑,使得代码难以维护。 - **复用与封装不足**:组件或函数没有重复利用,导致代码冗余。 - **函数职责过多**:一个函数承担多个不相关职责...
再深一点:如何给女朋友解释什么是微服务?(csdn)————程序.pdf
12-04
微服务架构则解决了上述问题,通过以下关键组成部分实现: 1. **网关集群**:提供统一入口,处理身份验证、流量控制等功能。 2. **业务集群**:根据访问来源分离业务,降低耦合。 3. **Local Cache**:减少服务调用...
【IT十八掌徐培成】Java基础第20天-03_消息重构——2.zip
08-07
【Java基础第20天-03_消息重构——2】这一主题主要涵盖了Java编程中的消息传递和重构技术,这是软件开发中至关重要的部分,尤其是对于维护代码质量和提高开发效率而言。在这里,我们将会深入探讨以下几个核心知识点...
基于matlab编程实现的配电网重构.rar
05-19
7. 文件结构分析:根据提供的文件名,"含sop配电网重构 故障6-7 yalmip 二阶锥.rar"可能包含了关于SOP策略、特定故障案例和使用yalmip及SOCP进行优化的相关代码和文档。而"02配电网重构.rar"可能是项目的一部分,...
算法课设——排序重构问题
05-18
4.排序重构问题。令A为一个由N个已特殊排序数组成的数列:A1,A2,…,AN,其中A1=0。令B为N(N-1)/2个数(定义为Dij=Ai-Aj(i>j))组成的数列。例如,A=0,1,5,8,那么D=1,3,4,5,7,8。请完成: a)编写程序...
pillow_heif-0.17.0-pp39-pypy39_pp73-macosx_14_0_arm64.whl
07-27
基本介绍 名称与起源:Pillow,原名为PIL(Python Imaging Library),但PIL只支持Python 2版本。随着Python 3的普及,Pillow作为PIL的一个分支出现,兼容Python 3并提供更多的功能和改进。 主要功能:Pillow支持多种图像格式的打开、保存、显示以及基本的图像操作和处理,如裁剪、缩放、旋转、翻转、滤镜应用等。 跨平台性:Pillow库可以在不同的操作系统上运行,包括Windows、Linux和MacOS等。 主要功能模块 Pillow库包含多个功能模块,每个模块都提供了特定的图像处理功能。以下是一些常用的模块: Image:用于处理图像文件,提供打开、保存、调整大小、旋转、裁剪、滤镜等功能。 ImageDraw:提供在图像上绘制各种形状(如线条、矩形、圆形)和文本的功能。 ImageFont:用于加载和使用TrueType字体文件,以便在图像上绘制文本时设置字体样式、大小和颜色。 ImageFilter:提供各种滤镜效果,如模糊、锐化、边缘增强等,用于图像增强、特效处理和图像识别等应用。 ImageEnhance:用于调整图像的亮度、对比度、颜色饱和度等参数,使图像更加清晰、明亮或具有特定的调色效果。 高级功能 除了基本的图像处理功能外,Pillow还支持一些高级功能,如色彩空间转换、直方图均衡化等。这些功能可以帮助用户进行更复杂的图像处理和分析。
cykooz.resizer-3.0.0-cp310-cp310-macosx_11_0_arm64.whl
07-27
python库,可以直接安装使用,再也不怕自己pip下载,出现等待超时的现象。欢迎下载使用,使用过程中如有使用问题,请及时与我沟通交流,帮你解决! python库,可以直接安装使用,再也不怕自己pip下载,出现等待超时的现象。欢迎下载使用,使用过程中如有使用问题,请及时与我沟通交流,帮你解决! python库,可以直接安装使用,再也不怕自己pip下载,出现等待超时的现象。欢迎下载使用,使用过程中如有使用问题,请及时与我沟通交流,帮你解决! python库,可以直接安装使用,再也不怕自己pip下载,出现等待超时的现象。欢迎下载使用,使用过程中如有使用问题,请及时与我沟通交流,帮你解决! python库,可以直接安装使用,再也不怕自己pip下载,出现等待超时的现象。欢迎下载使用,使用过程中如有使用问题,请及时与我沟通交流,帮你解决!
[毕设]Delphi题库管理与试卷自动生成系统.zip
最新发布
07-27
[毕设]Delphi题库管理与试卷自动生成系统
131 种水果、蔬菜和坚果的 90380张的高质量图像数据集+图像识别与定位+该数据集相关的研究论文
07-27
<项目介绍> 包含131 种水果、蔬菜和坚果的 90380张的高质量图像数据集+该数据集相关的研究论文。可供深度学习图像识别与定位。 - 训练集大小:67700 个图像 测试集大小:22888 个图像 文件名格式:image_index_100.jpg(例如 32_100.jpg)或 r_image_index_100.jpg(例如 r_32_100.jpg)或 r2_image_index_100.jpg 或 r3_image_index_100.jpg。 “r”代表旋转水果。 “r2”表示水果绕第三轴旋转。 “100”来自图像尺寸(100x100 像素)。 水果是如何拍摄的: 1:使用 C920 摄像机拍摄水果。最好的网络摄像头之一。 2:在水果后面,我们放了一张白纸作为背景。 3:将水果和蔬菜种植在低速电机(3转/分钟)的轴中,并录制一段20秒的短片。 下载后请首先打开README.md文件(如有),仅供学习参考, 切勿用于商业用途。 --------
SELECT * FROM ( SELECT A.*, ROWNUM RN FROM ( SELECT T.FID, T.QYMC, T.ZCDZ, T.JYFW, T.SHXYDM, T.HYML, T.RKSJ, T.CLRQ, T.LOGO_ID logoId, T.SJLX FROM T_QYXYJCXXB T WHERE T.IDENTIFICATION !='D' AND ( T.SJLX = ? OR T.SJLX = ? OR T.SJLX = ? OR T.SJLX = ? OR T.SJLX = ? OR T.SJLX = ? OR T.SJLX = ? OR T.SJLX = ? ) ORDER BY LAST_UPDATE DESC,FID ) A WHERE ROWNUM <= ? ) WHERE RN > ? 优化这个查询语句
07-08
3. 重构子查询:可以将子查询重构为一个内连接查询,避免使用嵌套查询和临时表。这样可以简化查询计划并提高执行效率。 优化后的查询语句如下所示: SELECT A.FID, A.QYMC, A.ZCDZ, A.JYFW, A.SHXYDM, A.HYML, A....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值