请抛弃gets(),使用更安全的fgets()!!
(来自于PTA,编译器:gcc,编译器版本:6.5.0)
警告:“get”已被弃用。
那么get究竟犯了多大的错呢,以致于被舍弃?
-
因为gets()在读到’\n’或者流末尾的时候才会停下来,把数据写入s指向的缓冲区,然后返回。它并不理会缓冲区的大小。如果缓冲区只有32字节,当前读到的行多于32个字符时,就会溢出缓冲区边界,带来错误,甚至危险。 有统计表明,80%以上的黑客攻击都是利用这种漏洞进行的,其中为数不少的攻击就是直接针对gets()展开的。这种攻击称为缓冲区溢出式攻击。
-
-
fgets0恰恰解决了此问题。它的第二个参数n用来说明缓冲区的大小,限制fgets无论如何都不能超过缓冲区的界限。Linux中关于gets()和fgets()的标准文档里,斩钉截铁地写着:"Never use gets()…Use fget() instead."怎么替换呢?假如定义一个缓冲区 char buffer[32],用gets()读入字符串:
gets(buffer);
如果替换成:
fgets(buffer,sizeof(buffer),stdin);
这样就安全、健壮多了。
用scanf()读入字符串时一样有缓存区溢出问题,所以也要用fgets()来替代。
(部分内容来自于c语言大学生实用教程(第4版))
如有错误或描述不当,欢迎指正。