strncpy()据说可以防止缓冲区溢出。但是,如果它防止了不带null终止的溢出,则很可能随后的字符串操作都会溢出。因此,为了防止这种情况,我发现自己正在做:
strncpy( dest, src, LEN );
dest[LEN - 1] = '\0';
man strncpy 给出:
该
strncpy()功能类似,但所复制的n字节数不超过个字节src。因此,如果存在第一间没有空字节n的字节src,则结果将不会被空终止。
在没有null终止的情况下,看起来像是无辜的事情如下:
printf( "FOO: %s\n", dest );
...可能会崩溃。
是否有更好,更安全的替代方法strncpy()?
Answers:
strncpy()并不是为了更安全而使用strcpy(),而是应该在另一个字符串中间插入一个字符串。
所有这些“安全”字符串处理功能(例如snprintf()和vsnprintf()是在更高标准中添加的修补程序,以减轻缓冲区溢出漏洞等)。
维基百科提到strncat()了写自己的保险箱的替代方法strncpy():
*dst = '\0';
strncat(dst, src, LEN);
编辑
我错过了strncat()在长度大于或等于LEN char的字符串终止为null时超过LEN个字符的情况。
无论如何,使用strncat()替代任何本地解决方案(例如memcpy(..., strlen(...))/ whatever)的目的是,strncat()库中的目标/平台可能会优化实现。
当然,您需要检查dst是否至少包含nullchar,因此正确的使用方法strncat()如下:
if (LEN) {
*dst = '\0'; strncat(dst, src, LEN-1);
}
我也承认这strncpy()对于将子字符串复制到另一个字符串不是很有用,如果src短于n char,则目标字符串将被截断。
最初,第7版UNIX文件系统(请参阅DIR(5))具有目录条目,该目录条目将文件名限制为14个字节。目录中的每个条目都由2个字节的inode编号和14个字节的名称组成,将null填充为14个字符,但不一定以null结尾。我认为,这种strncpy()设计旨在与这些目录结构一起使用-或至少可以完美地适用于该结构。
考虑:
这正是通过以下方式实现的:
strncpy(inode->d_name, filename, 14);
因此,strncpy()非常适合其原始的细分市场应用。巧合的是,防止以null终止的字符串溢出。
(请注意,将空值填充到长度14并不是一个严重的开销-如果缓冲区的长度为4 KB,而您想要的只是安全地将20个字符复制到其中,那么额外的4075个空值将是严重的矫kill过正,并且很容易如果您将材料反复添加到长缓冲区中,则会导致二次行为。)
strncpy()函数是通过对栈溢出攻击的安全用户程序的,它并不能保护你避免发生差错,你的程序员做的,比如打印一个非空结尾的字符串,你所描述的方式。
您可以通过限制printf打印的字符数来避免由于描述的问题而崩溃:
char my_string[10];
//other code here
printf("%.9s",my_string); //limit the number of chars to be printed to 9
%s一定是C.的的最模糊的特征中的一个
ISO / IEC TR 24731中指定了一些新的替代方法(有关信息,请参见https://buildsecurityin.us-cert.gov/daisy/bsi/articles/knowledge/coding/317-BSI.html)。这些函数中的大多数都带有一个附加参数,该参数指定目标变量的最大长度,确保所有字符串都以null终止,并具有以_s(以“ safe”?结尾)的名称结尾,以将它们与较早的“ unsafe”版本区分开来。1个
不幸的是,他们仍在获得支持,可能不适用于您的特定工具集。如果您使用旧的不安全功能,则更高版本的Visual Studio将引发警告。
如果您的工具不支持新功能,则为旧功能创建自己的包装器应该很容易。这是一个例子:
errCode_t strncpy_safe(char *sDst, size_t lenDst,
const char *sSrc, size_t count)
{
// No NULLs allowed.
if (sDst == NULL || sSrc == NULL)
return ERR_INVALID_ARGUMENT;
// Validate buffer space.
if (count >= lenDst)
return ERR_BUFFER_OVERFLOW;
// Copy and always null-terminate
memcpy(sDst, sSrc, count);
*(sDst + count) = '\0';
return OK;
}
您可以更改功能以满足自己的需要,例如,始终复制尽可能多的字符串而不会溢出。事实上,如果你通过VC ++实现可以做到这一点_TRUNCATE的count。
strcpy_s()它有25个字符的空间,您仍然会遇到麻烦。
使用strlcpy(),在此处指定:http://www.courtesan.com/todd/papers/strlcpy.html
如果您的libc没有实现,请尝试以下一种:
size_t strlcpy(char* dst, const char* src, size_t bufsize)
{
size_t srclen =strlen(src);
size_t result =srclen; /* Result is always the length of the src string */
if(bufsize>0)
{
if(srclen>=bufsize)
srclen=bufsize-1;
if(srclen>0)
memcpy(dst,src,srclen);
dst[srclen]='\0';
}
return result;
}
(我于2004年撰写-致力于公共领域。)
srclen会更好,因为我们会知道真正复制了多少个字符。
代替strncpy(),您可以使用
snprintf(buffer, BUFFER_SIZE, "%s", src);
这是一个单行代码,它最多可size-1从复制到的非空字符src,dest并添加一个空终止符:
static inline void cpystr(char *dest, const char *src, size_t size)
{ if(size) while((*dest++ = --size ? *src++ : 0)); }
snprintf(buffer, sizeof(buffer), "%s", src)。只要您记得从未在char *目的地上使用过它,它就可以正常工作
这些功能的发展远不止是设计,因此确实没有“为什么”。您只需要学习“如何”。不幸的是,Linux手册页至少没有这些功能的常见用例示例,而且我注意到 在我所审查的代码中有很多误用。我在这里做了一些说明:http : //www.pixelbeat.org/programming/gcc/string_buffers.html
strncpy()存在,则可以通过在缓冲区末尾手动写入零字节来强制字符串以零结尾。相比之下,如果strncpy()坚持总是在最后一个有用位置之后写入一个零字节,那么我想不出任何有效的方式来更新填充零(未终止)的字符串。请注意,已知固定长度的零填充字符串现在仍然是一种省时的方法,可以将数据存储在磁盘上。以与磁盘上相同的格式将信息存储在RAM中也可以提高性能。
在不依赖更新的扩展的情况下,我过去做过这样的事情:
/* copy N "visible" chars, adding a null in the position just beyond them */
#define MSTRNCPY( dst, src, len) ( strncpy( (dst), (src), (len)), (dst)[ (len) ] = '\0')
甚至:
/* pull up to size - 1 "visible" characters into a fixed size buffer of known size */
#define MFBCPY( dst, src) MSTRNCPY( (dst), (src), sizeof( dst) - 1)
为什么用宏而不是较新的“内置”(?)函数?因为过去有很多不同的unice,以及其他每天在执行C语言时必须移植回的非unix(非Windows)环境。
extern char *strncpy(char * restrict s1, const char * restrict s2, size_t n);'):strncpy()函数最多将n个字符从s2复制到s1。如果s2的长度少于n个字符,则s1的其余部分将以'\ 0'字符填充。否则,s1不会终止。