Mac解决方案：“安全”替代“不安全”的C/C++标准库函数？

首先，打印有关 MSDN 中“安全/不安全”函数的文档并将其销毁！
fopen
如果你不傻到认为返回的指针不是NULL，或者提供NULL作为输入参数，那么它与 fopen_s 一样安全。

vfprintf vsprintf sprintf 

微软不支持C99，使用snprintf系列函数。

 strncpy

只要你阅读了说明书，就是完全安全的。

strcpy strcat

使用strncpy和strncat函数并阅读规范。（例如，strncpy函数可能没有以null结尾）

所以...再一次：

打印有关MSDN中“安全/不安全”函数的文档并将其销毁！

概要：在Mac上，有几个API和编译器选项提供比C标准库函数更安全的替代方案。以下是其中一些与Microsoft的"safe" API进行比较：

   C        MSVC      提供者    Mac解决方案
---------------------------------------------------------------------------------
fopen     fopen_s     C          没有，假设fopen是安全的
vfprintf  vfprintf_s  GCC        GCC_WARN_TYPECHECK_CALLS_TO_PRINTF（1）
vsprintf  vsprintf_s  GCC，C99   GCC_WARN_TYPECHECK_CALLS_TO_PRINTF，vsnprintf（2）
sprintf   sprintf_s   GCC，C99   GCC_WARN_TYPECHECK_CALLS_TO_PRINTF，snprintf（3）
strncpy   strncpy_s   BSD        strlcpy（4）
strcpy    strcpy_s    BSD        strlcpy
strcat    strcat_s    BSD        strlcat（5）

（1）GCC_WARN_TYPECHECK_CALLS_TO_PRINTF是一个XCode配置选项，对应于GCC命令行选项-Wformat。此选项会产生编译器警告，指出参数类型与静态格式字符串之间的不一致。有多种其他选项可控制GCC对格式字符串的处理。您甚至可以使用GCC的format函数属性来启用自己函数的格式字符串检查。

(2) vsnprintf和(3) snprintf是C99版本的C标准库函数（在Mac上的GCC可用，但在Windows上的MSVC不可用）。

(4) strlcpy和(5) strlcat是BSD库函数，在Mac上可用。

不要使用sprintf和vsprintf，而是使用：

snprintf(buffer, buffer_size, fmt_string, args, ...);
vsnprintf(buffer, buffer_size, fmt_string, valist);

你不想使用strcpy、strncpy、strcat和strncat，而是要使用：

strlcpy(dest, src, dest_size);
strlcat(dest, src, dest_size);

有一种情况下，strn函数无法被strl函数替代。如果您想要复制非0结尾的字符串，通过将长度设置为副本数量和目标缓冲区大小中较小的值，strn函数允许您这样做。而strl函数则不能这样做，只有在源字符串为0结尾时才能使用。

不确定fopen或vfprintf为何被认为是不安全的。

另请参见：SO 327980。

标准C委员会创建了一份技术报告TR 24731-1，部分原因是受到微软的鼓励（我认为）。它标准化了各种函数的接口，如vsnprintf_s()。然而，遗憾的是，标准定义的接口与微软定义的接口不兼容，因此使得该标准在很大程度上无关紧要。

例如，TR 24731-1指出vsnprintf_s()的接口：

#define _ _STDC_WANT_LIB_EXT1_ _ 1
#include <stdarg.h>
#include <stdio.h>
int vsnprintf_s(char * restrict s, rsize_t n,
                const char * restrict format, va_list arg);

不幸的是，MSDN 上对 vsnprintf_s() 接口的说明如下：

int vsnprintf_s(
   char *buffer,
   size_t sizeOfBuffer,
   size_t count,
   const char *format,
   va_list argptr 
);

参数

• buffer - 输出的存储位置。
• sizeOfBuffer - 输出缓冲区的大小。
• count - 写入的最大字符数（不包括终止的空字符），或者使用_TRUNCATE。
• format - 格式说明。
• argptr - 指向参数列表的指针。

请注意，这不仅仅是类型映射的问题：固定参数的数量不同，因此无法协调。对于为什么同时具有“sizeOfBuffer”和“count”的好处，我也不清楚（可能标准委员会也一样）。看起来这是相同的信息两次（或者至少，常规代码将为两个参数使用相同的值）。

特别是，我正在寻找至少以下函数的“安全”实现: fopen vfprintf vsprintf sprintf strncpy strcpy strcat ...
我试图找到一个最佳实践的 Mac API，它尽可能地类似于传统的 C 库调用，同时增加安全性。
那很简单。请查阅 Apple Secure Coding Guide。苹果恰好使用了 BSD“更安全”的函数。

---

相关：虽然苹果和微软提供了更安全的功能，但Linux没有。GNU C没有包括“边界检查接口”（ISO的TR24731），因为像Ulrich Drepper（GNU libc门卫）这样的人反对。他反对是因为只指定了目标缓冲区。他称之为“更安全”的函数是BSD Crap。有关Drepper的引用，请参见Sourceware邮件列表上的Re: PATCH：safe string copy and concetation。
遵循Drepper的建议将导致惊人的失败。CVE-2012-5958 CVE-2012-5959 CVE-2012-5960 CVE-2012-5961 CVE-2012-5962 CVE-2012-5963 CVE-2012-5964 CVE-2012-5965（也称为libupnp中的多个缓冲区溢出）为胜利！可惜libupnp遵循Drepper并忽略最佳实践，并且放弃了“更安全”的功能。我不知道有多少百万台路由器和网关至今仍未修补...

C标准已经有了一组这些函数的“安全”版本。（对于“安全”一词的特定定义）

snprintf()（以及其它相关函数）提供了您需要的安全功能。它可以检查缓冲区溢出。此外，gcc编译器还进行格式字符串验证（但比微软更好，因为验证是在编译时完成的）。

fopen()             Not sure how you make that safer?
vfprintf            --  These are low level functions
vsprintf            --  These are low level functions
sprintf             snprintf
strncpy             Already the safe version
strcpy              strncpy
strcat              strncat

由于OSX的用户空间是基于FreeBSD的，因此您确实拥有一些更好的函数，例如strlcpy和strlcat。

Google Summer of Code 2010：OpenAfs和Google赞助了Microsoft的String Safe库的移植。请参见http://www.openafs.org/pages/gsoc.html。

我的safeclib是一个便携式解决方案。微软的实现存在漏洞和不安全性，其他实现方式虽然存在，但不具备可移植性或过于天真。

https://github.com/rurban/safeclib