这些测试都是用Visual Studio 2010 SP1,C/C++优化编译器版本16.00 .40219.01为80×86。
你想复制一个字符串吗?
我想我们都同意strcpy是危险的。在一些情况下,它可以安全使用,但这是一个坏习惯。所以考虑一下这个代码:
void StringCopyTests( const char* pEvil )
{
char buffer[100];
// warning C4996: ‘strcpy’: This function or variable may be unsafe.
// Consider using strcpy_s instead.
// warning C6204: Possible buffer overrun in call to ‘strcpy’: use
// of unchecked parameter ‘pEvil’
strcpy(buffer, pEvil);
// No warning
strcpy_s(buffer, strlen(pEvil) + 1, pEvil);
}
VC++警告说strcpy是危险的,strcpy是一个更好的选择。With/analyze VC++还警告说,这是strcpy的一种特别危险的用法。也可以。然而,它没有评论strcpy_s在语义上相同的用法。
我希望每个人都会因为在这件事上使用strcpy_s而感到震惊。这样的代码表明作者根本没有清楚地考虑它们的缓冲区。不是我写的代码。
以任何方式使用源缓冲区属性的目标缓冲区大小计算都将中断。我需要/analyze来告诉我这个模式是否存在于我们的代码库中,而现在它让我失望了。
安全的拷贝字符串
VC++弃用警告在理论上是个好主意,但在现实世界中,它们常常失败。从strcpy/strncpy转换为strcpy/strncpy_s/strncpy_s有好有坏的方法,经验告诉我,虽然大多数转换没有这一个糟糕,但可悲的事实是,大多数开发人员没有有效地转换到更安全的CRT。在这种情况下,有两种合理的方法来修改代码: void StringCopyFix( const char* pEvil )
{
char buffer[100];
// Terminate if source is too big
strcpy_s(buffer, pEvil);
// Truncate if source is too big
strncpy_s(buffer, pEvil, _TRUNCATE);
}
在strcpy_s和strncpy_s与_TRUNCATE之间进行选择是一个策略决定–如果字符串不适合,您是要继续还是要中止?没有讨论的是尺寸参数。它必须被正确地指定,而且,事实证明,最好的方法就是省略它。更安全的CRT函数都有模板重载,如果你给它们一个机会,它们将推断数组的大小。这些版本应该是首选的,因为人类有六种不同的方法可以搞乱目标缓冲区的大小*,而编译器总是能正确地处理。如果编译器不能推断出正确的大小,它将拒绝编译代码。
我发现缓冲区大小指定不正确的一些方式包括:
- 使用strcpy计算缓冲区大小
- 使用与缓冲区大小不匹配的硬编码数字
- 使用与缓冲区大小不匹配的命名常量
- 调用_countof时使用sizeof
- 使用错误数组的大小
- 在打算使用sizeof(buffer)-1时使用sizeof(buffer-1)