C语言中常见不安全函数及其替换函数

最新推荐文章于 2024-03-08 15:19:38 发布
最新推荐文章于 2024-03-08 15:19:38 发布
阅读量1.7k 收藏 9
点赞数
分类专栏: C语言 内存溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaxiaoxiong12345/article/details/101476654
版权
C语言中的缓冲区溢出问题通常与不检查长度的字符操作函数有关,如strcpy()、strcat()、sprintf()和gets()。为解决这个问题,开发者应遵循避免使用这些函数的原则,寻找更安全的替代方案。
摘要由CSDN通过智能技术生成

       C语言中,大多数的缓冲区溢出问题可以直接追溯到标准C库。罪魁祸首就是因为不进行自变量检查的、有问题的字符操作(例如:strcpy()、strcat()、sprintf()、gets()等等)。一般来讲,像“避免使用strcpy()”和“永远不使用gets()”这样严格的规则在工作中经常遇到。

一、常见问题函数及其解决方案

函数 严重性 解决方案
gets 最危险 使用 fgets(buf, size, stdin)。这几乎总是一个大问题!
strcpy 很危险 改为使用 strncpy。
strcat 很危险 改为使用 strncat。
sprintf 很危险 改为使用 snprintf,或者使用精度说明符。
scanf 很危险 使用精度说明符,或自己进行解析。
sscanf 很危险 使用精度说明符,或自己进行解析。
fscanf 很危险 使用精度说明符,或自己进行解析。
vfscanf 很危险 使用精度说明符,或自己进行解析。
vsprintf 很危险
最低0.47元/天 解锁文章
小熊爱吃竹子
关注
专栏目录
c语言调用函数fn,C语言常见函数调用
weixin_39928106的博客
05-20 2278
C语言常见函数调用isatty,函数名,主要功能是检查设备类型,判断文件描述词是否为终端机。函数名: isatty用 法: int isatty(int desc);返回值:如果参数desc所代表的文件描述词为一终端机则返回1,否则返回0。程序例:#include#includeint main(void){int handle;handle = fileno(stdout);if (isatt...
c语言的不安全函数
whatnamecaniuse的专栏
09-23 209
https://blog.csdn.net/caogenwangbaoqiang/article/details/79786972 那些不安全的库函数 C 和 C++ 不能够自动地做边界检查,边界检查的代价是效率。一般来讲,C 在大多数情况下注重效率。然而,获得效率的代价是,C 程序员必须十分警觉以避免缓冲区溢出问题。 C语言标准库的许多字符串处理和IO流读取函数是导致缓冲区溢出的罪魁祸首。我们有必要了解这些函数,在编程多加小心。 一、字符串处理函数 strcpy() strcpy(
C标准库安全函数
whatnamecaniuse的专栏
10-12 1251
C标准库有一些函数存在副作用。虽然这些函数功能强大,但是如果忽略他们的副作用,会让整个应用不稳定。初期运行良好的代码,到了项目晚期,时不时崩溃。 一、字符串缓冲区溢出 函数 严重性 解决方案 strcpy 很危险 改为使用 strncpy。 strcat 很危险 改为使用 strncat。 sprintf 很危险 改为使用 snprintf,或者使用精度说明符。 scanf 很危险 使用精度说明符,或自己进行解析。 ssc
c安全函数
usernamecontroled的专栏
09-19 5610
C 大多数缓冲区溢出问题可以直接追溯到标准 C 库。最有害的罪魁祸首是不进行自变量检查的、有问题的字符串操作(strcpy、strcat、sprintf 和 gets)。一般来讲,象“避免使用 strcpy()”和“永远不使用 gets()”这样严格的规则接近于这个要求。        今天,编写的程序仍然利用这些调用,因为从来没有人教开发人员避免使用它们。某些人从各处获得某个提示,但即使
C语言安全函数安全函数
最新发布
键盘的起始页
03-08 605
那么,您应该认为如果您的缓冲区足够大,可以处理可能的最长名称,您的程序会 安全,对吗?它可以做与 gets() 所做的同样的事情,但它接受用来限制读入字符数目的大小参数,因此,提供了一种防止缓冲区溢出的方法。遗憾的是,即使是系统调用的“安全”版本 ― 譬如,相对于 strcpy() 的 strncpy() ― 也不完全安全。然而,获得效率的代价是,C 程序员必须十分警觉,并且有极强的安全意识,才能防止他们的程序出现问题,而且即使这些,使代码不出问题也不容易。没有实际执行堆栈的代码,只有堆的代码。
C语言的回调函数实例
12-31
C语言一般用typedef来为回调函数定义别名(参数名)。 别名通过宏定义typedef来实现,不是简单的宏替换。可以用作同时声明指针型的多个对象。 比如: 代码如下:char *pa,pb;//pa是一个char型指针,但pb是一个...
详解C语言index()函数和rindex()函数的用法
09-03
C语言,`index()` 和 `rindex()` 函数是用于处理字符串的两个非常重要的函数,它们都属于C标准库的 `<string.h>` 头文件。这两个函数的主要任务是帮助程序员在字符串查找特定字符的出现位置。 1. `index()`...
C语言字符串替换函数strrpl支持文汉字
08-24
C语言字符串替换函数strrpl支持文汉字,解决含文汉字,可能替换错误的情况。支持GBK、GB18030字符串。
深入分析C安全的sprintf与strcpy
09-05
本篇文章是对C安全的sprintf与strcpy函数的使用进行了详细的分析介绍,需要的朋友参考下
一些不安全的常用的C函数
李逸波(PMP)
10-27 978
1 gets()   gets()由于不能进行拷贝了的buffer的size指定、所以有BufferOverflow的问题。使用代替函数进行Buffer的Size指定,      或者使用fgets()。 2 scanf()   不使用scanf()、把scanf_s()、sscanf()作为代替函数来使用。  3 strcpy()   strcpy()不检查copy先的Buf
C语言安全函数
xyjikl
12-26 913
这些函数由于设计的时候比较淳朴,并没有做任何的越界检测,主要容易"被溢出",只需要多设点检查边界,即安全函数 严重性 解决方案 gets 最危险 使用 fgets(buf, size, stdin)。这几乎总是一个大问题! strcpy 很危险 改为使用 strncpy。 strcat
【Visial Studio疑难杂症】This function or variable may be unsafe.等函数安全错误
Cain Xcy的博客
11-12 305
01、问题 问题描述如下图: This function or variable may be unsafe:提示函数安全,不能运行。 02、问题分析 C 大多数缓冲区溢出问题可以直接追溯到标准 C 库。最有害的罪魁祸首是不进行自变量检查的、有问题的字符串操作(strcpy、strcat、sprintf 和 gets)。一般来讲,像“避免使用 strcpy()”和“永远不使用 gets()”这样严格的规则接近于这个要求。 这些函数由于设计的时候比较淳朴,并没有做任何的越界检测,主要容易"被溢出",只
C语言安全函数以及解决方案
leo2007608的专栏
11-11 4448
函数        严重性     解决方案 gets         最危险        使用 fgets(buf, size, stdin)。这几乎总是一个大问题! strcpy     很危险        改为使用 strncpy。 strcat      很危险        改为使用 strncat。 sprintf     很危险        改为使用 snprint
安全函数(scanf等)
零界
08-30 266
#include #include <stdio.h> #include <Windows.h> using namespace std; int main(void) { int digital; //整数 scanf_s("%d", &digital); float floating; //浮点 scanf_s("%f", &floating); ...
C安全函数以解决办法汇总
羞羞滴小朋友
08-22 1554
这些函数由于设计的时候比较淳朴,并没有做任何的越界检测,主要容易"被溢出",只需要多设点检查边界,即安全。 针对不安全函数及其解决办法的详细描述 第 一位公共敌人是 gets()。永远不要使用 gets()。该函数从标准输入读入用户输入的一行文本,它在遇到 EOF 字符或换行字符之前,不会停止读入文本。也就是:gets() 根本不执行边界检查。因此,使用 gets() 总是有可能使任何缓冲...
安全函数_概念
能别闹的博客
01-13 2550
c标准库的一些函数在使用过程,面临数组内存越界等安全问题,这些原生的有隐患函数称为不安全函数。 为了避免不安全函数的隐患给代码带来各种漏洞,各大厂商基于标准库的函数,进行包装,加上校验和规避的措施,推出安全函数版本。 其比较有名的有windows的安全函数,华为的安全函数。 下面就windows的安全函数说一说。 vs安全函数 在使用vs(Visual Studio) 进行程序开发的使用,如果使用了strcpy等函数,vs会产生告警,提示用_s后缀的函数进行替换。_s后缀的这类函数就是安全函数。各大厂商
GetModuleFileName函数安全吗?
FUHAILIANG_2015的博客
02-16 2953
千里之堤毁于蚁穴,在看似缜密的认证逻辑却存在安全漏洞: HPSupportSolutionsFrameworkService使用Process.MainModule.FileName获取Client的文件路径,随后验证其文件签名。 然而,在C#Process.MainModule.FileName是通过调用GetModuleFileName()索引进程的PEB (Process Environment Block)来获取模块路径的。 PEB位于进程的用户空间,因此可以被攻击者修改替换。 攻击者只需在连
C语言的不安全函数及其替代策略
C语言,不安全函数是开发人员需要特别警惕的问题,这些问题往往与缓冲区溢出相关。其最主要的隐患来自四个不进行边界检查的字符串操作函数:strcpy(), strcat(), sprintf(), 和 gets()。由于gets()函数在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值