Cppcheck是一个用于C/C++代码的静态缺陷检查工具,专注于检查编译器无法检测到的错误。它提供了错误、警告、编码风格、可移植性等方面的检查。文章介绍了如何直接使用Cppcheck以及如何在VisualStudio中集成使用,并给出了一个包含缓冲区溢出漏洞的代码示例来展示Cppcheck的检测效果。
1、Cppcheck是什么?
CppCheck是一个C/C++代码缺陷静态检查工具。不同于C/C++编译器及其它分析工具,CppCheck只检查编译器检查不出来的bug,不检查语法错误。所谓静态代码检查就是使用一个工具检查我们写的代码是否安全和健壮,是否有隐藏的问题。
CppCheck下载地址:Cppcheck - A tool for static C/C++ code analysis
2、Cppcheck的检查信息
error:代码中的错误项,包括内存泄漏等;
warning:为了避免产生bug而提供的编程改进意见;
style:编码风格,提示你哪些函数没有使用、哪些为多余代码等;
portability:提示跨平台时容易出现的问题;
performance:该部分代码可以优化;
information:其他信息,可以忽略;
3、怎么使用?
3.1、直接使用
在工具栏的“Analyze”中,可以选择要分析的文件目录,或者直接选择需要分析的文件。
3.2、结合VS使用
在Visual Studio菜单栏"工具"→"外部工具",点击"添加",内容如下:
标题:Cppcheck
命令:D:\Program Files\Cppcheck\cppcheck.exe
参数:--enable=all--template=vs $(SolutionDir)
勾选"使用输出窗口"
使用时(检查代码时),点击"工具"→"Cppcheck"即可,如下图所示:
测试代码:
#include <stdio.h>
int main() {
double num1, num2, result;
char op;
printf("请输入两个数字: ");
scanf("%lf %lf", &num1, &num2);
printf("请输入运算符 (+, -, *, /): ");
scanf(" %c", &op);
switch(op) {
case '+':
result = num1 + num2;
break;
case '-':
result = num1 - num2;
break;
case '*':
result = num1 * num2;
break;
case '/':
result = num1 / num2;
break;
default:
printf("错误的运算符");
return 1;
}
printf("%.2lf %c %.2lf = %.2lf", num1, op, num2, result);
// Vulnerability added: buffer overflow
char buffer[10];
printf("\nEnter your name: ");
gets(buffer);
printf("Hello, %s!\n", buffer);
return 0;
}
Cppcheck检测输出信息:
截图与代码部分做部分改动,如看原文,请点击原文链接:
扫一扫
3988
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
