C/C++ 代码安全(一)

最新推荐文章于 2024-04-22 09:51:04 发布
最新推荐文章于 2024-04-22 09:51:04 发布
阅读量1.4k 收藏
点赞数
分类专栏: # C/C++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zmrlinux/article/details/52335745
版权 
规则1:

不通过链接创建通用字符串。

C11标准:如果匹配通用字符名称的字符序列由符号链接生成,将产生未定义行为。

#define assign(uc1,uc2,val) uc1##uc2 = val void func(){ int u0401; assign(u04,01,4); printf("u0401 = %d\n",u0401); } int main(){ func(); }

此结果是未定义的,不要使用链接诶字符串来赋值。 规则2: 避免使用不安全的宏参数

#define ABS(x)  (((x) < 0) ? -(x) : (x))

void fun(int n){
    /*
     *   n++;
     *   ABS(n);  right
     */
    ABS(n++);/*erro*/

}

注意n的加减。 解决方案一: 我们可以写一个内联函数或者写一个静态函数来代替此宏。 解决方案二: 使用范型编程_Generic 参数,范型选择不求值,所以我们的值只会求一次。

#include<stdio.h>
#include<complex.h>
#include<math.h>

static inline long labs(long v){
    return v < 0 ?  -v : v;
}

static inline int ilabs(int v){
    return v < 0 ? -v : v;
}

static inline short slabs(int v){
    return v < 0 ? -v : v;
}


#define ABS(v) _Generic(v,long : labs ,\
                          int  : ilabs ,\
                          short: slabs)(v)

void fun(int n){
    int m = ABS(++n);
}

int main(){

    fun(10);
}

解决方案三: 使用GCC 扩展,但是会带来平台问题。


#define ABS(x) __extension__ ({__typeof(x) tmp = x ;\
                               tmp < 0 ? -tmp : tmp;})

规则: 不要在类函数的宏调用中使用预处理器指令

void func(const char * src){

    char *dest;
    memcpy(dest,src,
        #ifdef A
          12
        #else 
          13
        #endif);

}

其实能写出这种代码的人脑洞也是大的没谁了,我感觉这都不关乎安全问题了。 解决方法很简单,写完整就好了。
 

zmrlinux
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
一种C/C++代码安全静态检测模型
12-22
目前在对C/C++漏洞的检测,研究比较深入的是针对源代码的静态扫描技术,主要的静态分析方法有以下几类。  词法分析:是早被用来进行缓冲区溢出漏洞检测的方法。这种方法是对软件源程序进行扫描分析,同时与特征库...
1、预处理器(PRE)
jiangsuyanchengshi的专栏
05-12 944
1.1 PRE30-C 不要通过连接创建通用字符名称C语言支持自定义通用字符来用于标识符、字符常量、字符串常量,以表示不在基本字符集中的字符(一个字节表示)。 表示方法:\Unnnnnnnn,8位16进制的数值对应的本地支持的多字节编码对应的字符,\unnnn表示4位16进制对应的本地的字符; 如果通用字符名称由通过多个字符通过字符连接生成,将产生未定义行为; 不相容代码示例:#define ass
C安全编码-1 不要通过连接创建通用字符名称
磨马门的博客
03-09 372
--选自 C安全编码标准①通用字符名称:②符号连接(##):
`obfuscator-clang`: 高级代码混淆工具,提升软件安全
最新发布
gitblog_00016的博客
04-22 254
obfuscator-clang: 高级代码混淆工具,提升软件安全性 项目地址:https://gitcode.com/tom555cat/obfuscator-clang 在软件开发中,保护源代码安全性和防止逆向工程是一个重要的议题。obfuscator-clang 是一个基于 LLVM 和 Clang 的开源代码混淆器,它能够将 C/C++ 语言编写的源代码转换为难以理解的形式,从而增加破解...
预处理宏的问题
a504325677的博客
07-05 427
在c中我们经常把一些短并且执行频繁的计算写成宏,而不是函数,这样做的理由是为了执行效率,宏可以避免函数调用的开销,这些都由预处理来完成。 但是在c++出现之后,使用预处理宏会出现两个问题: 第一个在c中也会出现,宏看起来像一个函数调用,但是会有隐藏一些难以发现的错误。 第二个问题是c++特有的,预处理器不允许访问类的成员,也就是说预处理器宏不能用作类类的成员函数。 预处理宏的缺
PRE30-C. 不要通过拼接来构造通用字符名
lichengyu的专栏
08-21 223
PRE30-C. 不要通过拼接来构造通用字符名 C语言标准支持将不在基本字符集中的字符作为通用字符名,用于标识符、字符常量和字符串字面值。通用字符名 \Unnnnnnnn 指定了8位数字的短标识符 nnnnnnnn。类似的,通用字符名\unnnn 指定了一个4位数字构成的短标识符 nnnn 。 C语言标准,5.1.1.2,第4段 [ISO/IEC 9899:2011], 描述如下: 如果一个满足通用字符名的字符序列是通过符合拼接构建的(6.10.3.3), 行为是未定义的。 参见未定义行为3. 总之,除
C语言基础:预处理指令的使用
u013288925的博客
07-23 469
通过#define可以定义一个宏,预处理阶段的时候,如果在代码中遇到一个宏,就会将其替换成宏所对应的内容。函数输入半径,返回圆的面积。其中用到了圆周率,直接将数值3.14写道代码中。这样的数字被称为“魔法数字”。正确的做法是将其定义为一个宏,然后在函数中使用这个宏。3.14这样做有两个好处,首先,其他人阅读代码的时候,对于数字很难理解其中的含义,但是宏定义是可以从字面上知道意义的,可以增加代码的可读性。
android引入c/c++本地加密安全方式代码
03-20
本主题将详细介绍如何在Android应用中安全地引入C/C++代码,以实现本地签名验证和获取密钥的原生示例。 一、本地签名验证 1. JNI接口:在Android应用中,Java与C/C++代码的交互主要通过JNI(Java Native Interface...
C/C++使用WinIO读取CMOS数据代码
07-06
在C/C++代码中,这通常通过调用`WinIOInit()`函数来完成: ```c++ #include "WinIO.h" int main() { if (!WinIOInit()) { // 错误处理:初始化失败 return -1; } // 其他代码... } ``` 接下来,你可以使用...
C语言/C++实现图书管理系统
05-27
在IT行业中,编程是至关重要的技能之一,而C语言和C++则是许多程序员入门和进阶的首选语言。本项目“C语言/C++实现图书管理系统”是一个基础的软件开发实践,旨在帮助学习者掌握这两种语言的基本语法以及面向对象...
DSA 数字签名 /C++/源代码
10-09
在本文中,我们将深入探讨DSA的原理、实现过程以及如何使用C++编写相关的源代码。 首先,DSA的核心概念包括:密钥对(公钥和私钥)、签名生成和签名验证。私钥由用户保管,用于生成数字签名;公钥则是公开的,用于...
C和C++安全编码(中文版)]
03-16
关于 如何 进行 安全方面的 c/c++ 编程
学习笔记之宏定义
m0_62480610的博客
07-13 189
学习笔记——宏
C/C++语言编程的隐患!
吴建明wujianming_110117
05-13 847
C/C++语言编程的隐患! 本文将带您了解一些良好的和内存相关的编码实践,以将内存错误保持在控制范围内。内存错误是 C 和 C++ 编程的祸根:它们很普遍,认识其严重性已有二十多年,但始终没有彻底解决,它们可能严重影响应用程序,并且很少有开发团队对其制定明确的管理计划。但好消息是,它们并不怎么神秘。 一. 引言 C和 C++ 程序中的内存错误非常有害:它们很常见,并且可能导致严重的后果。来自计算机应急响应小组(请参见参考资料)和供应商的许多最严重的安全公告都是由简单的内存错误造成的。自从 70 年代末期以来
c++安全编程指南
qq_59611876的博客
06-03 461
《C++安全编程指南》
stunnix C++ Obfuscator 代码混淆
fxjfsy的博客
09-06 5953
stunnix 是一款代码混淆软件,包括C++,perl,js等语言混淆功能 C/C++ Obfuscator 下载地址 官网下载后,解压缩,里面有3个文件夹lib,doc,bin 可以用命令行加密和gui加密 命令行加密单个.c文件比较方便: 进入bin-->>执行perl cxx-obfus -x xpg4 PATH/*.c -o PATH/*.c  即可得到加密后的文件; gui
C/C++ 代码混淆工具,stunnix CXX Obfuscator
好好学习 天天向上
10-12 8528
C/C++ 代码混淆工具,stunnix CXX Obfuscator 转载自:http://www.techbulo.com/2545.html ----原文作者没有声明文档不可转载,如有需要,请联系我删除 2019年01月08日⁄工具配置⁄ 共 585字 ⁄ 字号小中大⁄C/C++ 代码混淆工具,stunnix CXX Obfuscator已关闭评论 最近查找东西找到这...
C/C++语言的安全编码规范
hhhlizhao的博客
12-11 408
安全编码的内容非常广泛,涉及变量、断言、函数、循环、异常机制、类、安全退出、字符串/数组操作、整数、内存、不安全函数、文件输入/输出、敏感信息处理等各方面,这里简略叙述最重要的内存、函数、字符串处理等几个模块,以期能达到举一反三作用,引导大家树立安全编码思想。通过函数参数传递数组或一块内存进行写操作时,函数参数必须同时传递数组元素个数或所传递的内存块大小,否则函数在使用数组下标或访问内存偏移时,无法判断下标或便宜的合法范围,产生越界访问的漏洞。3、通过防御性的编码策略来弥补潜在的编码人员的疏忽。
c/c++代码混淆技术和方法
06-11
C/C++代码混淆技术和方法是用于保护源代码的一种技术。以下是一些常用的C/C++代码混淆技术和方法: 1. 重命名变量和函数名称:将变量和函数名称替换为无意义的字符串或者数字,使得代码难以阅读和理解。 2. 拆分...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值