翻译《有关编程、重构及其他的终极问题？》——32.危险的pritnf

翻译《有关编程、重构及其他的终极问题？》——32.危险的pritnf

标签（空格分隔）：翻译 技术 C/C++
作者：Andrey Karpov
翻译者：顾笑群 - Rafael Gu
最后更新：2018年07月14日

---

32.危险的pritnf

下面这段代码摘自著名的TortoiseSVN项目（译者注：记得SVN流行的时候那个Windows上的小乌龟吗？）。PVS-Studio分析器对这段代码的诊断结果为：V618 It’s dangerous to call the ‘printf’ function in such a manner, as the line being passed could contain format specification. The example of the safe code: printf(“%s”, str)（译者注：大意是说用下面这种方式调用printf是危险的，因为传入的行可能包含格式化信息，安全使用方式应为：printf(“%s”, str)）。

BOOL CPOFile::ParseFile(....)
{
  ....
  printf(File.getloc().name().c_str());
  ....
}

解释
当你想打印或者向一个文件写一个字符串时，很多程序员会使用如下方式书写：

printf(str);
fprintf(file, str);

一个好的程序员应该一直记住，这是一种极其不安全的方式。这是因为，如果在这个字符串中有莫名其妙的格式化信息，着就会导致程序不可预知的后果。

让我们回到之前的那个例子。如果那个文件名是“file%s%i%s.txt”，那个程序也许就会崩溃或者打印一些垃圾信息。但那也只是所有麻烦的一半。事实上，类似这种的函数调用会让程序非常脆弱——某些人可以利用它对程序进行攻击，比如利用特别注备好的字符串，某些人可以打印内存中的私有数据。

你可以在这篇文章中发现更多关于这些脆弱性的信息，花时间读读吧，我相信你会觉得有趣的，你不光会了解到相关基础的理论，还能找到实例。

正确的代码

printf("%s", File.getloc().name().c_str());

建议

类似printf()的函数能引起很多安全相关的问题，所以最好不要使用它们，可以用更现代的一些函数取代它们。比如，你可以发现boost::format或者std::stringstream就非常不错。

通常，草率的使用printf(), sprintf(), fprintf()等函数，不光是容易导致程序的不正确的执行，还会引起潜在的缺陷，这样某些人就会利用这个缺陷。