C标准库中不安全的函数

于 2020-10-12 11:32:05 发布
阅读量1.1k 收藏 9
点赞数
分类专栏: C++ linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/whatnamecaniuse/article/details/109022289
版权
linux 同时被 2 个专栏收录
33 篇文章 0 订阅
订阅专栏
C++
29 篇文章 2 订阅
订阅专栏

C标准库中有一些函数存在副作用。虽然这些函数功能强大,但是如果忽略他们的副作用,会让整个应用不稳定。初期运行良好的代码,到了项目晚期,时不时崩溃。

一、字符串缓冲区溢出

函数严重性解决方案
strcpy很危险改为使用 strncpy。
strcat很危险改为使用 strncat。
sprintf很危险改为使用 snprintf,或者使用精度说明符。
scanf很危险使用精度说明符,或自己进行解析。
sscanf很危险使用精度说明符,或自己进行解析。
fscanf很危险使用精度说明符,或自己进行解析。
vfscanf很危险使用精度说明符,或自己进行解析。
vsprintf很危险改为使用 vsnprintf,或者使用精度说明符。
vscanf很危险使用精度说明符,或自己进行解析。
vsscanf很危险使用精度说明符,或自己进行解析。
streadd很危险确保分配的目的地参数大小是源参数大小的四倍。
strecpy很危险确保分配的目的地参数大小是源参数大小的四倍。
strtrns危险手工检查来查看目的地大小是否至少与源字符串相等。
realpath很危险(或稍小,取决于实现)分配缓冲区大小为 MAXPATHLEN。同样,手工检查参数以确保输入参数不超过 MAXPATHLEN。
syslog很危险(或稍小,取决于实现)在将字符串输入传递给该函数之前,将所有字符串输入截成合理的大小。
getopt很危险(或稍小,取决于实现)在将字符串输入传递给该函数之前,将所有字符串输入截成合理的大小。
getopt_long很危险(或稍小,取决于实现)在将字符串输入传递给该函数之前,将所有字符串输入截成合理的大小。
getpass很危险(或稍小,取决于实现)在将字符串输入传递给该函数之前,将所有字符串输入截成合理的大小。
getchar中等危险如果在循环中使用该函数,确保检查缓冲区边界。
fgetc中等危险如果在循环中使用该函数,确保检查缓冲区边界。
getc中等危险如果在循环中使用该函数,确保检查缓冲区边界。
read中等危险如果在循环中使用该函数,确保检查缓冲区边界。
bcopy低危险确保缓冲区大小与它所说的一样大。
fgets低危险确保缓冲区大小与它所说的一样大。
memcpy低危险确保缓冲区大小与它所说的一样大。
snprintf低危险确保缓冲区大小与它所说的一样大。
strccpy低危险确保缓冲区大小与它所说的一样大。
strcadd低危险确保缓冲区大小与它所说的一样大。
strncpy低危险确保缓冲区大小与它所说的一样大。
vsnprintf低危险确保缓冲区大小与它所说的一样大。

1、strcpy
原型声明:char *strcpy(char* dest, const char *src);
头文件:#include <string.h> 和 #include <stdio.h>
功能:把从src地址开始且含有NULL结束符的字符串复制到以dest开始的地址空间
说明:src和dest所指内存区域不可以重叠且dest必须有足够的空间来容纳src的字符串
返回:指向dest的指针。

在实际开发中,由于src大小会变化,往往不能时刻保证dest有足够空间,导致写入内容超过dest边界,侵入下一个变量。

 

 

 

二、输入缓冲区溢出

gets最危险使用 fgets(buf, size, stdin)。

三、内部使用全局变量导致线程不安全

rand产生随机整数1rand_r
strtok字符串split1strtok_r

四、函数返回静态变量的地址

asctimeasc时间2asctime_r
ctime时间戳2ctime_r
gethostbyaddr返回主机信息2gethostbyaddr_r
gethostbyname返回主机信息2gethostbyname_r
inet_ntoa转成IP2暂无
localtime返回本地时间2localtime_r

 

参考资料:
http://www.voidcn.com/article/p-whckshnh-uk.html    C语言中不安全的函数以及解决方案
https://vimsky.com/article/3185.html                            C语言线程安全:不可重入函数汇总
https://www.w3cschool.cn/cadvance/am9q1j5y.html    C语言 一些不安全的库函数
http://www.360doc.com/content/11/0610/16/6295074_126040631.shtml      C中不安全的函数
https://www.cnblogs.com/qintangtao/archive/2013/01/28/2879792.html       C语言中不安全的函数以及解决方案
https://blog.csdn.net/u014465639/article/details/71155515     C中不安全的函数以解决办法汇总
https://baike.baidu.com/item/strcpy/5494519?fr=aladdin        strcpy百度百科
 

whatnamecaniuse
关注
  • 0
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
c语言危险函数及解决方案
dearwind153的专栏
03-01 647
C语言安全函数以及解决方案
straing的专栏
01-11 1005
函数        严重性     解决方案 gets         最危险        使用 fgets(buf, size, stdin)。这几乎总是一个大问题! strcpy     很危险        改为使用 strncpy。 strcat      很危险        改为使用 strncat。 sprintf     很危险        改为使用 snprintf,
一些不安全的常用的C函数
李逸波(PMP)
10-27 960
1 gets()   gets()由于不能进行拷贝了的buffer的size指定、所以有BufferOverflow的问题。使用代替函数进行Buffer的Size指定,      或者使用fgets()。 2 scanf()   不使用scanf()、把scanf_s()、sscanf()作为代替函数来使用。  3 strcpy()   strcpy()不检查copy先的Buf
使您的软件运行起来: 防止缓冲区溢出
不羁的风的专栏--逆水行舟 不进则退
03-14 1725
   使您的软件运行起来: 防止缓冲区溢出通过防御性编程保护代码       级别: 初级Gary McGrawReliable Software TechnologiesJohn ViegaReliable Software Technologies2000 年 3 月 01 日在 上一篇专栏文章,描述了高水平的缓冲区溢出攻击,以及讨论了为
C安全函数以解决办法汇总
羞羞滴小朋友
08-22 1506
这些函数由于设计的时候比较淳朴,并没有做任何的越界检测,主要容易"被溢出",只需要多设点检查边界,即安全。 针对不安全函数及其解决办法的详细描述 第 一位公共敌人是 gets()。永远不要使用 gets()。该函数从标准输入读入用户输入的一行文本,它在遇到 EOF 字符或换行字符之前,不会停止读入文本。也就是:gets() 根本不执行边界检查。因此,使用 gets() 总是有可能使任何缓冲...
C语言标准函数库详解.pdf
07-29
C语言标准函数库是C语言提供的一组预定义的函数,用于实现各种常见的操作,如输入输出、数学运算、字符串处理、时间日期处理等。这些函数库是C语言的基础组件,掌握这些函数库的使用是C语言编程的基础。 在C语言...
C语言标准函数库速查手册.chm
07-29
对于初学者和经验丰富的开发者来说,都是一个不可或缺的工具,能够提高开发效率,减少出错概率,加深对C语言标准库的理解。通过深入学习和熟练运用这些函数,开发者可以更好地掌握C语言,编写出高效、稳定、可维护的...
C标准库-文.rar_C 标准库_C语言标准_c语言标准库_文_语言库
07-14
c语言标准库,包含c语言标准库函数的介绍
c语言标准库字符转换函数和数字转换函数
12-31
字符转换为数字: #include atoi();将字符转换为整型 例:char ch1;int i=atoi(ch1); atol();将字符转化为长整型 例:char ch2;long l=atol(ch2); ...将字符转化为浮点型 例:char ch3;... 将字符串转化为双精度类型 ...
C语言函数库-文-综合文档
05-14
C语言函数库,又称为C语言标准库,是C编程语言不可或缺的一部分,它提供了一系列预定义的函数,供程序员在编写程序时调用,以实现各种常见任务,如输入输出、字符串处理、数学运算等。这个综合文档,"C语言函数库-...
C 高危函数
05-14
c有很多危险函数,注意使用
c安全函数
usernamecontroled的专栏
09-19 5440
C 大多数缓冲区溢出问题可以直接追溯到标准 C 库。最有害的罪魁祸首是不进行自变量检查的、有问题的字符串操作(strcpy、strcat、sprintf 和 gets)。一般来讲,象“避免使用 strcpy()”和“永远不使用 gets()”这样严格的规则接近于这个要求。        今天,编写的程序仍然利用这些调用,因为从来没有人教开发人员避免使用它们。某些人从各处获得某个提示,但即使
C安全函数
weixin_33968104的博客
08-14 625
C 大多数缓冲区溢出问题可以直接追溯到标准 C 库。最有害的罪魁祸首是不进行自变量检查的、有问题的字符串操作(strcpy、strcat、sprintf 和 gets)。一般来讲,象“避免使用 strcpy()”和“永远不使用 gets()”这样严格的规则接近于这个要求。 今天,编写的程序仍然利用这些调用,因为从来没有人教开发人员避免使用它们。某些人从各处获得某个提示,但即使是...
Java命令注入之防护
热门推荐
沧海一粟
07-16 1万+
1 Java的命令注入 在Java的Runtime.getRuntime本质就是使用ProcessBuilder,以ProcessBuilder里用ProcessImpl,start 的一个子进程执行命令, Java的native调用 a. Windows是CreateProcessW 创建子进程执行命令 b. Unix以enecve 来创建子进程执行命令
那些不安全的库函数
积微致著
09-28 827
C 和 C++ 不能够自动地做边界检查,边界检查的代价是效率。一般来讲,C 在大多数情况下注重效率。然而,获得效率的代价是,C 程序员必须十分警觉以避免缓冲区溢出问题。C语言标准库的许多字符串处理和IO流读取函数是导致缓冲区溢出的罪魁祸首。我们有必要了解这些函数,在编程多加小心。一、字符串处理函数strcpy()strcpy() 函数将源字符串复制到缓冲区。没有指定要复制字符的具体数目!如果源字
C 语言编程 — 线程安全与线程非安全
烟云的计算
05-14 4449
目录 文章目录目录线程安全与线程非安全C 语言的线程非安全函数(不可重入函数) 线程安全与线程非安全 多线程程序,线程安全是必须要考虑的因素。 线程安全(Thread Safe)就是在多线程环境,多个线程在同一时刻对同一份资源(e.g. 寄存器、内存空间、全局变量、静态变量 etc.)进行写操作(读操作不会涉及线程安全的问题)时,不会出现数据不一致。反正,则是线程非安全(None-Thread Safe)的。 为了确保在多线程环境的线程安全,就要确保数据的一致性,即:线程安全检查。这是一种对资源写操作
C危险函数(缓冲区溢出)
Quartz's Blog
08-17 3535
导言C语言,自创始以来,到现在经久不衰。虽然C你只好自己造轮子,由于C语言允许直接访问物理地址,可以直接对硬件进行操作,因此它既具有高级语言的功能,又具有低级语言的特性。所以有可移植的汇编之称。 可是也在这些直接对内存的访问,导致了危险的发生。 有了自由也就多了混乱 ————某斯基
(转载)C语言危险函数
weixin_30764883的博客
05-13 89
(转载)http://www.blogjava.net/woxingwosu/archive/2007/07/10/129296.html               转自:http://www.ibm.com/developerworks/cn/security/buffer-defend/index.html 函数 严重性 解决方案 gets 最危险 使用 f...
c语言的不安全函数
whatnamecaniuse的专栏
09-23 195
https://blog.csdn.net/caogenwangbaoqiang/article/details/79786972 那些不安全的库函数 C 和 C++ 不能够自动地做边界检查,边界检查的代价是效率。一般来讲,C 在大多数情况下注重效率。然而,获得效率的代价是,C 程序员必须十分警觉以避免缓冲区溢出问题。 C语言标准库的许多字符串处理和IO流读取函数是导致缓冲区溢出的罪魁祸首。我们有必要了解这些函数,在编程多加小心。 一、字符串处理函数 strcpy() strcpy(
下列不是c语言标准库文件操作的函数选项是
最新发布
12-25
C语言标准库文件操作的函数选项包括fopen、fclose、fread、fwrite、fseek、ftell等。这些函数可以用来打开文件、关闭文件、读取文件数据、写入文件数据、定位文件流位置等。但是不属于C语言标准库文件操作的函数选项包括open、close、write、read等。这些函数并非C语言标准库函数,而是属于其他一些特定的库或系统调用。在C语言进行文件操作时,应当使用标准库提供的文件操作函数,而不是其他库或系统调用。因此,正确的文件操作函数选项应当包括fopen、fclose、fread、fwrite、fseek、ftell等,而不包括open、close、write、read等。这些标准库的文件操作函数可以保证程序的可移植性和可靠性,因此在进行文件操作时应当优先选择标准库提供的函数

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值