C中不安全的 sprintf 和 strcpy

最新推荐文章于 2025-06-30 07:00:00 发布
原创 最新推荐文章于 2025-06-30 07:00:00 发布 · 1.3k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文探讨了使用sprintf和strcpy函数可能引发的缓冲区溢出问题,并提出了具体的解决方案:建议用snprintf替代sprintf,用strncpy及显式置空操作替代strcpy,以此增强程序的安全性和稳定性。

经过跟踪调试, 发下不少 bug 源于 sprintf 和 strcpy 之类可能造缓冲区溢出的函数. 

应该将所有的 sprintf 用 snprintf 替换.

 将 strcpy 用 strncpy 替换, 并且将末尾字节设置为 ''\0'  .

strncpy(buf, str, len);
buf[len] = 0;


C:sprintfsnprintf的陷阱
风静如云的博客
08-25 884
snprintf函数会通过size对str指向的空间进行检查,他最多只会写入size-1个字符,然后会自动带上字符串结束符\0。需要注意的是windows上的实现版本有些问题,所以需要以如下方式编写。可见sprintf对字符数组s的写操作实际上越界了。通常用于C语言的格式化字符串。...
C语言——strcpysprintf与memcpy
鲸落博客
09-09 1381
该函数printf()函数有很多相似之处,例如printf()将同类型的数据格式化到终端,而sprintf()函数是将同类型的数据格式化到字符串中。另外,strcpy()函数一样,该函数也会对目标缓冲区进行检查,容易造成溢出。它是一种非常通用的内存复制函数,仅限于复制字符串,还可以复制任何类型的内存块。3. 未定义行为:程序可能会继续运行,但结果可预测,可能会输出错误的结果或导致其他未预料的行为。如果memcpy复制字符串,要复制的字节数超过原内存块本身的内存数,会怎么样?
深入分析C中安全sprintfstrcpy
09-05
本篇文章是对C中安全sprintfstrcpy函数的使用进行了详细的分析介绍,需要的朋友参考下
c中安全的函数
usernamecontroled的专栏
09-19 6087
C 中大多数缓冲区溢出问题可以直接追溯到标准 C 库。最有害的罪魁祸首是进行自变量检查的、有问题的字符串操作(strcpy、strcat、sprintf gets)。一般来讲,象“避免使用 strcpy()”“永远使用 gets()”这样严格的规则接近于这个要求。        今天,编写的程序仍然利用这些调用,因为从来没有人教开发人员避免使用它们。某些人从各处获得某个提示,但即使
linux 使用安全sprintf函数,存储字符越界导致程序莫名崩溃问题
weixin_34037977的博客
10-09 1076
linux c++编程 问题背景: 在处理一个公共模块的代码中,其中有以下代码片段 1 //代码片段-组合一组字符串并存放到szSignKey数组中 2 char szSignKey[256] = {0}; ...
一文搞定C语言中的strcpy、strcat、sprintf以及其对应的各类其它版本
GentleLiuYY的博客
12-02 1156
一文搞定C语言中的strcpy、strcat、sprintf以及其对应的各类其它版本 文章目录一文搞定C语言中的strcpy、strcat、sprintf以及其对应的各类其它版本前言一、先来看看有几类函数二、使用步骤1.引入库2.读入数据总结 前言 在编写C语言程序时,若使用了strcpy、strcat、sprintf等函数,经常编译器会提醒该函数安全,推荐使用更为安全的版本进行替换。这些函数为什么安全安全的版本又是如何实现的呢?本文将探讨这些问题。 一、先来看看有几类函数 strcpy、str
sprintfstrcpy 、memcpy 的比较
爱唠叨的老鱼
01-12 3673
sprintfstrcpy 、memcpy,都是常用的拷贝函数。到底它们之间有何同呢?这里对它们用法特性做一下简单的对比总结。
fopen、sprintf安全的错误
MrSong007的博客
06-19 4425
VS2013中使用fopen、sprintf等函数会出现安全问题: error C4996: ‘fopen’: This function or variable may be unsafe. Consider using fopen_s instead. To disable deprecation, use _CRT_SECURE_NO_WARNINGS. See online help fo...
sprintf为什么有安全隐患
为你撑伞的专栏
06-29 1万+
先来看一小段代码 #include int main() { char buf[12] = {0}; char *str = "ab"; sprintf(buf, "hello :%s\n", str); printf("%s\n", buf); return 0; } 编译并运行以上程序,会打印输出 hello :ab 然而,当把程序改成 #include i
VS2017中fopen、sprintf、fscanf等函数安全的的简单全面解决办法
weixin_42512880的博客
10-27 8038
很多新人(比如我)在开始使用vs2017写c代码的时候,经常会遇到函数安全报错的问题,如 有如下三种解决办法(个人推荐第三种): 1.文件包含 #define _CRT_SECURE_NO_WARNINGS 这里又分为两种情况: (1)在 .c 文件中 有些项目比较简单,可能一个.c文件就能完成代码,这个时候把#define _CRT_SECURE_NO_WARNINGS 放在当前.c文件的第一...
安全函数调用之 -- sprintf 命令注入漏洞
xiaozhi
03-24 541
安全函数调用之 -- sprintf 命令注入漏洞
用 snprintf / asprintf 取代安全sprintf
zzhongcy的专栏
12-18 1903
在 C 語言裡,要建立一個字元陣列的字串,常常會使用 sprintf() 這個函數來做格式化的處理。但是實際上,這個函式卻是那麼「安全」。怎麼說呢?sprintf() 的整個介面長的樣子的是: int sprintf ( char * str, const char * format, ... ) 也就是在使用前,必須要先建立好一個字元陣列的空間,再用這個函式把內容填入,下面就是簡單的例
你的sprintf安全吗?
weixin_30819085的博客
06-08 688
使用snprintf也是安全的。sprintf、snprintf都无法处理常见的 len += sprintf() 的场景,常常会导致bug。windows下更糟糕,snprintf保证'\0'结尾。所以,我们需要一个更安全sprintf。(nginx也意识到了类似的问题,因此在实现ngx_sprintf的时对接口做了类似的调整)声明://return 0 on fail. return...
记录一个C语言sprintf存在的bug
qq_55982881的博客
04-11 393
大概率是因为sprintf在初始化后,还需要调用一次这个字符串,使得底层刷新一次,然会导致后续对该字符串使用时的数据乱引用。按照此形式将一个-timestep给连接到str后面,sprintf后面printf输出str有关信息。输出:HAVEC1-12 12 (上图有其他拼接操作)其中now为“HAVEC1”,timestep为12。
解决VS2017报错fopen、sprintf等函数安全的问题
热门推荐
小红的博客
12-14 2万+
VS2017中使用fopen、sprintf等函数会出现安全问题,如下: error C4996: ‘fopen’: This function or variable may be unsafe. Consider using fopen_s instead. To disable deprecation, use _CRT_SECURE_NO_WARNINGS. See online help
C 语言开发问题:‘sprintf‘: This function or variable may be unsafe. Consider using sprintf_s instead.
weixin_52173250的博客
06-30 438
C 语言开发问题:'sprintf': This function or variable may be unsafe. Consider using sprintf_s instead.
报错:出现错误:'sprintf':This function or variable may be unsafe.Consider using sprintf_s instead.To disabl
boss-dog
12-21 3058
VS中出现如上的错误:意思是编译器认为你的函数安全。 解决办法: 方法一:调用VS的那些带“_s”后缀的非标准函数,即在其后加上"_s",如sprintf改为sprintf_s 。 方法二:在文件最开始添加#define _CRT_SECURE_NO_DEPRECATE或#pragma warning(disable:4996) ,这是忽略警告的方法(一般比较少用)。 ...
介绍一下C语言的strcpy strncpy sprintf snprintf
最新发布
08-09
- **安全性**:`strcpy` `sprintf` 因为缺乏对目标缓冲区大小的检查而推荐用于新代码中。推荐使用 `strncpy` `snprintf` 来提高程序的安全性。 - **手动终止**:当使用 `strncpy` 时,如果复制的字符数少于...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值