谈谈C 运行库中的安全字符串函数

最新推荐文章于 2022-03-14 00:40:46 发布
最新推荐文章于 2022-03-14 00:40:46 发布
阅读量766 收藏
点赞数
分类专栏: Windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/vanquishedzxl/article/details/8522087
版权

     任何修改字符串的函数都存在一个安全隐患:如果目标字符串缓冲区不够大,无法包含所生成的字符串,就会破坏内存中的数据(或者说发生“内存恶化”,即memory corruption)。
下面是一个例子:

 

    // The following puts 4 characters in a
    // 3-character buffer, resulting in memory corruption
    WCHAR szBuffer[3] = L"";
    wcscpy(szBuffer, L"abc"); // The terminating 0 is a character too!


    strcpy和wcscpy函数(以及其他大多数字符串处理函数)的问题在于,它们不能接受指定了缓冲区最大长度的一个参数。所以,函数不知道自己会破坏内存。因为不知道会破坏内存,所以不会向你的代码报告错误。因为不知道出错,所以你不知道内存已经被破坏。另外,如果函数只是简单地失败,而不是破坏任何内存,那么是最理想不过的了。 

    过去,这种行为被恶意软件肆意滥用。现在,Microsoft提供了一系列新的函数来取代C运行库的不安全的字符串处理函数(比如wcscat)。虽然多年以来,这些函数已经成为许多开发人员的老朋友,但为了写安全的代码,你应该放弃这些熟悉的、能修改字符串的C运行库函数(不过,strlen、wcslen和_tcslen等函数是没有问题的,因为它们不会修改传入的字符——即使它们假设字符串是以0来终止的,而这个假设有时并不一定成立)。相反,应该使用在Microsoft的StrSafe.h文件中定义新的安全字符串函数。

    注意 
    Microsoft已在内部更新了ATL和MFC类库,以使用新的安全字符串函数。如果你的程序使用了这些库,只需rebuild一下,就能让你的程序变得更安全。

vanquishedzxl
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Windows核心编程学习笔记(6)导入:C运行安全字符串函数
weixin_45802197的博客
02-20 276
C运行长期支持一系列字符串处理函数,以方便开发人员对字符串进行读写修改。现在这些函数依然可用,且为我们熟知,如strcat函数和strlen函数等。包括C运行支持的所有有效的字符串处理函数,只要是字符串写入函数,特别是长期存在的某些老版本函数,如果没有在实际写入前目标缓冲区的容量进行识别和判断,就很容易发生溢出错误。这将导致内存数据损坏。更糟糕的是,因为没有事先检查目标缓冲区的可容值,当函数发生错误时,并不会向系统汇报错误信息并上存错误日志,因为函数本身没有错误检测机制,当函数发生内部错误时用户对错误
Strsafe.h:更安全的C语言字符串处理函数
weixin_33701617的博客
03-20 180
作者:Michael Howard原文出处:Strsafe.h: Safer String Handling in C   在微软公司举行的Microsoft Windows Security Push 活动期间,一批测试者、程序管理经理和普通程序员共同决定要为 C 语言量身定制一套具有较高安全性的字符串处理函数,并且希望这些函数能被 Windows 程序员和微软公司内部的程序员所采用。简单说来...
安全字符串处理函数
zhang1chao5的专栏
03-07 2880
缓冲区溢出错误(这是处理字符串时的典型错误)已成为针对应用程序乃至操作系统的各个组件发起安全攻击的媒介。,所以Microsoft在C运行新增了很多安全函数。我们应该尽量使用这些新函数来防止应用程序在处理字符串的时候发生的缓冲区溢出。 建议使用Unicode字符串,而且始终应该通过新的安全字符串函数来处理这些字符串。 一、新的安全字符串函数 C的所有字符串处理函数,都对应一个新版本的函数
安全的C语言字符串处理函数
91program 的流水空间
06-10 2039
 StrSafe.h,位于STANDARDSDK_500/Include/Armv4i/strsafe.h等,每种CPU类型下都有对应的StrSafe.h文件存在。 #include STRSAFEAPI是为了解决现有的 C 语言运行函数的代码容易产生的“内存溢出”问题而设计的。当引用 strsafe 系列函数时,原有的 C 语言字符串处理函数都将被自动进行 #undef 处理。调试过程
使用安全字符串函数
SDNHELIXIN的专栏
10-01 1426
  在驱动程序帮助防止缓冲区溢出,使用安全字符串函数内核模式驱动程序的缓冲区溢出增加了可能导致系统崩溃的缺陷和内存池破坏风险,也增加了攻击者可以利用的安全漏洞。字符串处理操作是缓冲区溢出的常见根源,大部分是由于 C/C++ 语言运行提供的标准字符串处理函数(strcat、strcpy、sprintf 等)不会阻止超出缓冲区结尾的写入操作。 使用内核模式安全字符串函数而不是标
c代码-字符数组与字符串
07-14
接下来,我们谈谈字符串函数。C标准提供了一系列处理字符串函数,如`strlen()`计算字符串长度,`strcpy()`复制字符串,`strcat()`连接字符串,`strcmp()`比较字符串等。这些函数在`<string.h>`头文件定义,是...
函数指针,动态链接
11-03
在给出的例子,`DllNew`可能是动态链接的名称,而`stringDll`可能是一个包含与字符串操作相关的函数的头文件。通过函数指针访问`DllNew.dll`的`FindString`函数,我们可以实现对字符串的查找功能,这在处理...
使用与文件
08-04
对于BLOB类型,你可以将二进制数据转化为字符串或内存缓冲区进行处理。 4. **查询数据**:使用`sqlite3_prepare_v2()`预编译SQL语句,然后通过`sqlite3_step()`执行并获取结果,最后用`sqlite3_finalize()`释放资源...
My-First-c--程序:简单的程序,需要用户在1-100之间输入一个int并显示一个字符串
02-15
我们将讨论标题的"我的第一个C++程序",并涵盖描述提到的用户输入验证和字符串显示。 首先,我们来看一下程序的基本框架。在C++,一个简单的程序通常包含一个或多个`.cpp`文件,其包含了我们的代码。在这个...
算法实践,用C语言实现.zip
最新发布
06-14
4. **丰富的支持**:C标准提供了大量的函数,如输入/输出、字符串处理、数学运算等。 接下来,我们谈谈“算法实践”部分。算法是解决问题的步骤或指令集,学习算法有助于提升编程能力。常见的算法类型包括: -...
关于安全字符串操作函数
magictong的专栏
02-25 5075
当我们在VC7.0及以上版本使用非安全字符串操作函数时,默认情况会提示类似如下的警告: warning C4996: 'wcsncpy': This function or variable may be unsafe. Consider using wcsncpy_s instead. To disable deprecation, use _CRT_SECURE_NO_WARNINGS. See online help for details. 建议我们使用安全字符串拷贝函数wcsncpy_
字符串函数安全问题
du_lijun的博客
11-06 552
主要内容:字符串安全问题简析 一、 几个基本定义 无界字符串复制:发生在从一个无界数据源复制数据到一个定长的字符数组,例如标准输入函数gets( ). int main() { char a[80]; gets(a);//在键盘输入可以无限输入,发生数组越界,因此此函数安全。 return 0; } 因此gets( );函数是不安全的。如果对输入的数据长度加以控制,便不会发生栈溢出...
StrSafe.h 使用安全字符串操作函数
steven216的专栏
06-10 550
const TCHAR P[] = _T("测试一下");     int nLen = sizeof(P)/sizeof(TCHAR);  //5     int nLen1 = sizeof(P); // 10;     TCHAR szData[MAX_PATH] = { 0 };     int nLen2 = lstrlen(P); //4     if (S_OK !=
C运行安全字符串处理函数(即函数名以_s结尾的函数
haiross的专栏
04-22 1081
C运行安全字符串处理函数 通常,修改字符串函数都存在一个安全隐患,即目标字符串的缓冲不够大,则会导致内存的数据被破坏。 例如: WCHAR szbuffer[3]=L""; wcscpy(szbuffer,L"abc"); 以上的例子是以0结尾的,需要szbuffer[4]才可以容纳。但编译时并不会有任何报错或警告。   针对以上问题,我们必须使用“安全字符串处理函数”,这
在VC使用安全字符串操作函数
04-10 2648
1.前言 对于直接使用C-Style字符串的C/C++ Coder来说,一个潜在的危险是如果目标缓冲区的大小不足以容纳要拷贝的文本,则会发生内存破坏 strcpy/wcscpy以及其他大多数旧式的字符串处理函数来说,最大的问题是,它们只根据字符串末尾的\0来判断文本是否结束,而指定缓冲区的大小对它们来说是透明的,这就使得它们自己也不知道自己是否做了不该做的事情。 考虑下面的例子:
[干货]Windows核心编程学习笔记(7)初识新的安全字符串函数
weixin_45802197的博客
04-17 392
在本节内容开始之前,首先谈一下我的本节内容的心得,由于学业问题,所以这几周比较繁忙,这一节的难度也比较高,主要体现在涉及了很多领域和术语。其实作者也不应该把本章的字符和字符串处理的内容放在前面,虽然作者是为了强调突出Unicode字符集在Windows的重要地位,并且的确本章也是围绕此心展开的,但对于一些Windows编程和API基础比较陌生的朋友,还是有一定鸿沟的。米兰君在研读本节内容是也存在一些问题,其实这些疑问在对后面的章节展开阅读时就会茅塞顿开。所以在本节开始前,为了方便某些朋友更好的理解本节内
C语言 字符串函数
热门推荐
kjl167的博客
03-14 1万+
前言:字符串是一种重要的数据类型,但是C语言没有显式的字符串数据类型,字符串通过字符串常量或字符数组方式储存。C语言提供了许多与字符串相关函数,可以在头文件<string.h>查看函数声明,本章将会自行编写相关字符串函数 一、字符串长度函数 strlen 功能:字符串以 ‘\0’ 作为结束标志,strlen函数返回的是在字符串 ‘\0’ 前面出现的字符个数(不包 含 ‘\0’ ) 函数strlen函数声明: size_t&emsp;strlen(char const *string
C语言字符串安全,C语言辅导:更安全的C语言字符串处理函数
weixin_36263001的博客
05-18 279
简单说来,现有的 C 语言运行函数实在难以在当今充斥着恶意攻击企图的大环境下立足。这些函数要么在返回值和参数上缺乏一致性,要么隐含着所谓的“截断误差”(truncation errors) 错误,要么无法提供足够强大的功能。坦言之,调用这些函数的代码太容易产生“内存溢出”问题了。我们发现,面向 C++ 程序员的类足以应付各种安全处理字符串的编程需要;他们能够选择 MFC 的Cstring 类、A...
C语言字符串操作函数
04-23 2573
原创文章,转载请注明出处https://blog.csdn.net/aaron_lyn1985/article/details/80048369简单记录C语言对字符串的操作函数,难点在于字符串结束符的处理和宽字符串的处理C++也使用char, wchar_t表示字符型和宽字符型本地为文操作系统处理多字节字符串:处理字符串函数基本都在&lt;string.h&gt;char *pMultiCha...
c语言字符串拼接函数的用法
06-01
C语言可以使用strcat()函数来实现字符串的拼接,它的语法格式如下: ```c char *strcat(char *dest, const char *src); ``` 其,dest表示目标字符串,src表示要拼接的源字符串。该函数将源字符串复制到目标...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值