C安全编码之字符串-0n10rz1r0-ChinaUnix博客

烂笔头

首页　| 　博文目录　| 　关于我

0n10rz1r0

博客访问： 316378
博文数量： 57
博客积分： 146
博客等级：入伍新兵
技术积分： 769
用户组：普通用户
注册时间： 2012-05-29 14:57

文章分类

全部博文（57）

数学（0）
版本控制（0）

subversion（0）

git（0）
生活（1）
读书笔记（39）

TCP-IP Arch（0）

深入理解linux网（6）

C常见问答（0）

C安全编码（20）

Dive Into&n（2）

禅与摩托车维修艺（2）

C语言借口与实现（1）

来源于网络（3）

ARM嵌入式系统开（3）

程序员自我修养（2）
代码（6）

POSIX线程（1）

C代码（3）

脚本（2）
嵌入式（6）

补漏（3）

交叉编译（3）
Linux内核（5）

TCP/IP协议栈笔记（4）
未分配的博文（0）

文章存档

2014年（39）

2013年（13）

2012年（5）

我的朋友

相关博文

C安全编码之字符串

分类： C/C++

2014-07-09 14:54:02

一.使用限制操作字节数的替代函数，可预防缓冲区溢出的漏洞。
1.strncpy() instead of strcpy()
2.strncat() instead of strcat()
3.fgets() instead of gets()
4.snprintf() instead of sprintf()

若需要操作的字节数超出字节数限制，这些函数将会截断字符串。另外一些像strncpy的函数不会保证字符串是以NULL字符结尾。错误代码：未对string_data作判断，若string_data是字符串其长度是否大于sizeof(a)

点击(此处)折叠或打开

char *string_data;
char a[16];
/* ... */
strncpy(a, string_data, sizeof(a))

正确代码：

点击(此处)折叠或打开

#define A_SIZE 16
char *string_data;
char a[A_SIZE];
/* ... */
if (string_data) {
if (strlen(string_data) < sizeof(a)) {
strcpy(a, sizeof(a), string_data);
}
else {
/* handle string too large condition */
}
}
else {
/* handle null string condition */
}

二.不要尝试修改字符串常量
字符串常量存储在只读内存区域，尝试修改字符串常量是未定义行为。
错误代码：

点击(此处)折叠或打开

char *p = "string literal";
p[0] = 'S'

p指向字符串常量地址，是只读内存区域不能修改。

正确代码：

点击(此处)折叠或打开

char a[] = "string literal";
a[0] = 'S'

代码copy字符串常量到数组a中，修改a[0].

三.保证有足够的空间存放字符数据和null终结符
缓冲区若没有足够的空间容纳拷贝的数据会导致缓冲区溢出。
错误代码：

点击(此处)折叠或打开

/* ... */
for (i=0; src[i] && (i < sizeof(dest)); i++) {
dest[i] = src[i];
}
dest[i] = '\0';
/* ... */

数组大小在0到sizeof(dst)-1的范围内，上面代码i的最后等于sizeof(dst),dst[sizeof(dst)]='\0',导致缓冲区溢出。

正确代码：

点击(此处)折叠或打开

/* ... */
for (i=0; src[i] && (i < sizeof(dest)-1); i++) {
dest[i] = src[i];
}
dest[i] = '\0';
/* ... */

四.确保字符串最后都是NULL字符结尾
字符串操作不能确定长度或不正确null结尾的字符串，会导致缓冲区结束溢出和其他不确定的行为。

错误代码：

点击(此处)折叠或打开

char a[16];
strncpy(a, "0123456789abcdef", sizeof(a))

正确代码：

点击(此处)折叠或打开

char *string_data = "0123456789abcdef";
char a[16];
/* ... */
if (string_data) {
if (strlen(string_data) < sizeof(a)) {
strcpy(a, string_data);
}
else {
/* handle string too large condition */
}
}
else {
/* handle null string condition */
}

五.不要从一个无边界的数据源拷贝数据到一个固定大小的数组。

1.gets()函数

错误代码：

点击(此处)折叠或打开

char buf[BUFSIZ];
gets(buf)

根据C99规定，gets函数从stdin流中读取字符串，直至接受到换行符或EOF时停止，并将读取的结果存放在buffer指针所指向的字符数组中。换行符不作为读取串的内容，读取的换行符被转换为null值，并由此来结束字符串。
本函数可以无限读取，不会判断上限。如果溢出，多出来的字符将被写入到堆栈中，这就覆盖了堆栈原先的内容，破坏一个或多个不相关变量的值，为了避免这种情况，我们可以用fgets()来替换gets（）。

正确代码：

点击(此处)折叠或打开

char buf[BUFSIZ];
int ch;
char *p;
if (fgets(buf, sizeof(buf), stdin)) {
/* fgets succeeds, scan for newline character */
p = strchr(buf, '\n');
if (p) {
*p = '\0';
}
else {
/* newline not found, flush stdin to end of line */
while (((ch = getchar()) != '\n') && !feof(stdin) && !ferror(stdin) );
}
}
else {
/* fgets failed, handle error */
}

fgets函数从文件指针stream中读取sizeof(buf)个字符，存放以buf为起始地址的空间里，直到读完一行，如果成功则返回buf的指针，否则返回NULL。

2.getchar()函数:
当程序调用getchar时.程序就等着用户按键.用户输入的字符被存放在键盘缓冲区中.直到用户按回车为止（回车字符也放在缓冲区中）.当用户键入回车之后，getchar才开始从stdin流中每次读入一个字符.getchar函数的返回值是用户输入的第一个字符的ASCⅡ码，如出错返回-1.

错误代码：

点击(此处)折叠或打开

char buf[BUFSIZ], *p;
int ch;
p = buf;
while ( ((ch = getchar()) != '\n') && !feof(stdin) && !ferror(stdin)) {
*p++ = ch;
}
*p++ = 0

如果getchar一直循环下去，会超出BUFSIZE的范围。

正确代码：

点击(此处)折叠或打开

unsigned char buf[BUFSIZ];
int ch;
int index = 0;
int chars_read = 0;
while ( ( (ch = getchar()) != '\n') && !feof(stdin) && !ferror(stderr) ) {
if (index < BUFSIZ-1) {
buf[index++] = (unsigned char)ch;
}
chars_read++;
} /* end while */
buf[index] = '\0'; /* terminate NTBS */
if (feof(stdin)) {
/* handle EOF */
}
if (ferror(stdin)) {
/* handle error */
}
if (chars_read > index) {
/* handle truncation */
}

阅读(718) | 评论(0) | 转发(0) |

上一篇：C安全编码之数组

下一篇：C安全编码之内存管理Part0

给主人留下些什么吧！~~