如何摆脱不安全的功能(sprintf,..)
How to get rid of insecure functions (sprintf, ...)
我想在一个大型C++项目中摆脱对sprintf
等不安全函数的所有使用。我希望有errors or at least warnings
,向我展示所有事件以供进一步审查。我知道,在OpenBSD上有这样的警告,但我使用的是Linux。如果我尝试为sprintf
定义宏,则会在<cstdio>
标头中出现错误。那么除了修补系统标头之外,还有什么好主意吗?
编辑:另一个挑战是,在本土的C++字符串类中有一个sprintf函数。因此,仅仅为 sprintf 进行 greping 会导致大量误报。
尽管我完全同意@Matt功能还不错,而且您在禁止时非常不分青红皂白,但这里有办法这样做。
-
今天是修补你的标题日:
- 复制你的标题,然后运行 grep 来找到你害怕的那些函数。
- 向它们添加
__attribute__ ((deprecated))
。 - 重新编译项目。
- 利润???
-
不修补标头?
不过,最好还是直接走:只需 grep 您自己的项目文件。
您甚至可以将该搜索保存为脚本以供重新应用。 -
使用预处理器(请注意,我们正在更改保留的标识符,这很糟糕!
添加一个文件"explosive_security.h",如下所示:
inline static int my_deprecated() __attribute__ ((deprecated)) {return 0;} #undef strcmp #define strcmp (my_deprecated(), strcmp)
并将其包含在所有其他包含之后。
这应该会生成警告,并且在大多数情况下没有错误,尽管在某些情况下总是错误。
根据@Deduplicator和@alastair的回答,我想出了以下解决方案,这对我有用:
在一个头文件中,每个编译单元都包含 gcc 的-include
选项(以前已经存在(,我添加了以下行:
#ifdef __cplusplus
#include <cstdio>
#else
#include <stdio.h>
#endif
#undef sprintf
extern "C" {
int sprintf(char *, const char*, ...) __attribute__((error("!!!DON'T USE sprintf(), USE snprintf() INSTEAD!!!")));
}
当然,您可以将error
替换为warning
。(出于某种原因,deprecated
没有在我的设置中产生警告,没有进一步研究,为什么。
感谢所有贡献者!
使用简单的#define
,而不是更复杂的。 例如
#undef sprintf
#define sprintf __DO_NOT_CALL_SPRINTF
更有可能毫无问题地工作,而不是
#undef sprintf
#define sprintf(s,f,...) __DO_NOT_CALL_SPRINTF(s, f, __VA_ARGS__)
如果您仍然有困难,请确保在使用#define
之前#include
所有相关标头;一个简单的方法是创建一个项目范围的标头文件(称为"safety.h"(,并在该标头中执行例如
#ifdef __cplusplus
#include <cstdio>
#else
#include <stdio.h>
#endif
#undef sprintf
#define sprintf __DO_NOT_CALL_SPRINTF
当然,所有这些都可能比实际价值更麻烦。
- 在执行其他功能的同时播放动画(LED矩阵和Arduino/ESP8266)
- 多态性和功能结合
- 带内存和隔离功能的SQLite
- 在CMakeLists.txt的安装功能中使用.cmake文件有什么用
- 类模板的成员功能的定义在单独的TU中完全专业化
- 有没有一种方法可以创建一个带有哈希表的数据库,该哈希表具有恒定时间查找功能
- 如何在C++中获得"静态纯虚拟"功能?
- 两个文件使用彼此的功能-如何解决
- 我应该实现右值推送功能吗?我应该使用std::move吗
- QML按钮点击功能执行顺序
- 无法理解此 return 语句的功能,没有它就会发生运行时错误
- 有没有可能有一个只有ADL才能找到的非好友功能
- 功能样式转换从 'int' 到 'ItemType' 的匹配转换
- 文件系统:复制功能的速度秘诀是什么
- 在用于格式4的arm模拟器中实现功能时的一个问题
- 如何在Directwrite中获得给定字体的可用OpenType功能
- 对可变参数使用声明.如何选择正确的功能
- 询问在设计我的手臂模拟器功能表示格式1
- 功能原型的目的
- 如何摆脱不安全的功能(sprintf,..)