本文探讨了使用sscanf函数与特定正则表达式时遇到的一个常见问题,即如何正确地解析并验证带有空格的密码字符串。通过一个具体的bug案例分析,揭示了在密码验证中容易忽视的细节。
有一段这样的代码:
BOOL Match();//实现忽略,作用是匹配相应的正则表达式,结果返回TRUE or FALSE。
unsigned int checkPsd(const char *cValue)
{
//password's format -> admin:admin
char cOldPsd[32] = {0};
char cNewPsd[32] = {0};
char *cPattern = "^[a-zA-Z0-9//._@-]{0,32}";//五类字符为合法字符,同时允许密码为空
//将旧密码和新密码分开
sscanf(cValue, "%[^:]%s", cOldPsd, cNewPsd);
if(FALSE == Match(cNewPsd, cPattern))
{
return FALSE;
}
return TRUE;
}
当用户的旧密码和新密码为admin:[_][_],即时(注:[_]表示为空格),这个检查函数一直为TRUE。
由于输入约定密码不能为空格,因此这里产生了一个bug。
那是什么导致了这个bug出现呢?
先思考下!
原来是这段正则表达式"%[^:]%s"出了问题。
那是什么问题呢?
原来sscanf包括(sprintf/printf等类似函数)在应用正则表达式匹配时,%s与%s之间匹配是用空格隔开的。例如admin:[_][_]匹配"%[^:]%s"这个正则表达式的结果是,cOldPsd为admin,而cNewPsd为空字符串。因此cNewPsd就通过Match函数的检查。
总结
其实,这是一个很简单的sscanf函数使用正则表达式的问题,但是平时没有留意里边匹配的基本原理,结果闹出BUG。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
