在近期的一次工作交接中,在我的代码中发现了很多’安全隐患’,主要是以’字符串拷贝’为主。这种安全漏洞在C编程中是较为常见的,防范起来也较为容易,这里我们就来一起探索一下’字符串拷贝’的’密码’。

在正常情况下,我们在考量目的缓冲区大小时都会以源缓冲区大小作为依据的,一般会适当的比源缓冲区多出一些空间,其中一种’居中’状况:即sizeof(dstbuf) = strlen(srcbuf) + 1。

当sizeof(dstbuf) > strlen(srcbuf) + 1时,使用strcpy, strncpy都不会出现问题(缓冲区溢出问题);
[Ex1.]
int main() {
        /*
         * 测试char *strcpy(char *s1, const char *s2);
         */
        char    dstbuf1[10];
        char    *srcbuf1 = "Hello";

        memset(dstbuf1, 0, sizeof(dstbuf1));
        strcpy(dstbuf1, srcbuf1);

        printf("%s\n", dstbuf1);        /* 输出结果:Hello */

        /*
         * 测试char *strncpy(char *s1, const char *s2, size_t n);
         */
        char    dstbuf2[10];
        char    *srcbuf2 = "Hello";

        memset(dstbuf2, 0, sizeof(dstbuf2));
        strncpy(dstbuf2, srcbuf2, sizeof(dstbuf2)-1);

        printf("%s\n", dstbuf2);        /* 输出结果:Hello */
}

当sizeof(dstbuf) < strlen(srcbuf) + 1时,当然这种情况就是异常情况,是否能很好的处理这样的异常情况恰恰体现了你的程序的健壮性好坏。我们分别讨论一下使用strcpy、strncpy和strlcpy在这种情况下出现的问题:

(1) 使用strcpy
使用strcpy会出现什么问题呢?strcpy会将srcbuf中的所有字符(直到并包括结尾0)拷贝到dstbuf中,即使sizeof(dstbuf)不够大。这样会导致dstbuf缓冲区溢出,看下面例子:

[Ex2.]
int main() {
        /*
         * 测试char *strcpy(char *s1, const char *s2);
         */
        char    dstbuf1[6];
        char    *srcbuf1 = "HelloWorld";

        memset(dstbuf1, 0, sizeof(dstbuf1));
        strcpy(dstbuf1, srcbuf1);

        printf("%s\n", dstbuf1);        /* 缓冲区溢出,输出结果:HelloWorld */
}
strcpy将’HelloWorld’拷贝到了dstbuf中,由于strcpy不检查目的缓冲区大小,所以即使目的缓冲区dstbuf大小不够,strcpy也继续拷贝,直至碰到源缓冲区的结尾0,strcpy同样不会放过源缓冲区的结尾0,该结尾0也被拷贝到目的缓冲区中,这样我们在输出dstbuf时,printf将结尾0之前的字符悉数打印出来。

(2) 使用strncpy
使用strncpy会出现什么问题呢?如果你这样使用(一般都应该这样用)strncpy(dstbuf, srcbuf, sizeof(dstbuf) – 1),则不会出现问题,最后的sizeof(dstbuf)-1就是为了在dstbuf的结尾留出’结尾0′的空间。但是如果你这样用:strncpy(dstbuf, srcbuf, n), n > sizeof(dstbuf) – 1, 则由于目前srcbuf中的数量已经大于dstbuf的长度,一旦n也大于sizeof(dstbuf)-1,那么dstbuf的最终结果就是其没有结尾0,你printf(dstbuf)会得到结尾为乱码的字符串。看下面例子:
[Ex3.]
int main() {
        /*
         * 测试char *strncpy(char *s1, const char *s2, size_t n);
         */
        char    dstbuf2[6];
        char    *srcbuf2 = "HelloWorld";

        memset(dstbuf2, 0, sizeof(dstbuf2));
        strncpy(dstbuf2, srcbuf2, sizeof(dstbuf2));

        printf("%s\n", dstbuf2);        /* dstbuf2的结尾0被覆盖,输出结果:HelloW鯰 */
}

(3) 使用strlcpy
strlcpy会出现什么情况呢?首先strlcpy并不是标准C库函数,不过在大部分Unix/Linux平台下都提供这个接口,它会在适当的时候截断srcbuf并保证dstbuf最后结尾0不被覆盖,保证缓冲区不溢出,也就是说使用strlcpy是安全的,但是并不一定是你期望的结果。

[Ex4.]
int main() {
        /*
         * 测试size_t strlcpy(char *dst, const char *src, size_t dstsize);
         */
        char    dstbuf3[6];
        char    *srcbuf3 = "HelloWorld";

        memset(dstbuf3, 0, sizeof(dstbuf3));
        strncpy(dstbuf3, srcbuf3, sizeof(dstbuf3));
 
       /*
        * strlcpy截断srcbuf, 将srcbuf的前sizeof(dstbuf3)-1个字符拷贝到dstbuf3中,
        * 并在dstbuf3的结尾处添加结尾0,输出结果:Hello
        */
        printf("%s\n", dstbuf3);       
}

通过上面的几个例子的讲解,相信你已经能够找到’字符串拷贝’的’密码’了,拥有这一密码你的程序将会变得更加健壮。^_^

© 2006, bigwhite. 版权所有.

Related posts:

  1. 线程函数参数引发的问题
  2. C单元测试包设计与实现
  3. 也谈字节序问题
  4. 走马观花ANSI C标准-类型表示
  5. APR源代码分析-网络IO篇