C缓冲区溢出的解释

简单来说，仅仅因为在“buf”之后的源代码行上声明了“x”，并不意味着编译器会将它们放在堆栈上相邻的位置。在所示代码中，“x”根本没有被使用，所以它可能根本没有被放置在任何地方。即使你使用了“x”（必须是一种防止它被存储到寄存器中的方式），很有可能编译器会精确地将其排序在“buf”之下，这样就不会被溢出“buf”的代码覆盖。
你可以通过struct结构强制该程序覆盖“x”，例如：

#include <stdio.h>

int main() 
{
    struct {
        char buf[5];
        char x[2];
    } S = { { 0 }, { 'u' } };

    printf("Please enter your name: ");
    gets(S.buf);

    printf("Hello %s!\n", S.buf);
    printf("S.x[0] = %02x\n", S.x[0]);

    return 0;
}

因为一个struct的字段在内存中的顺序总是按照它们在源代码中出现的顺序进行布局。¹原则上，在S.buf和S.x之间可能有填充，但char必须具有1的对齐要求，因此ABI可能不要求这样。

但即使你这样做，它也不会打印出“Hello stacku!”，因为gets总是写入一个终止的NUL。看：

$ ./a.out 
Please enter your name: stac
Hello stac!
S.x[0] = 75

$ ./a.out 
Please enter your name: stack
Hello stack!
S.x[0] = 00

$ ./a.out 
Please enter your name: stacks
Hello stacks!
S.x[0] = 73

看看它总是打印你输入的东西，但是x [0]会被覆盖，首先是用NUL覆盖，然后用“s”覆盖?

（你已经读过Smashing the Stack for Fun and Profit了吗？ 你应该读一下。）

---

¹ pedants的脚注：如果涉及位字段，则在内存中的字段顺序部分地变成实现定义的。但这对于此问题并不重要。

正如其他答案所指出的那样，在内存中，不能保证x紧跟在buf之后。但即使是这样，gets也会将其覆盖掉。请记住：gets没有办法知道目标缓冲区有多大（这是它致命的缺陷），它总是写入它读取到的整个字符串以及终止符\0。因此，如果x恰好紧跟在buf之后，那么如果您键入一个五个字符的字符串，printf很可能会正确地打印它（就像您看到的那样），如果您检查x的值：

printf("x = %d = %c\n", x, x);

如果你运行程序，它可能会告诉你现在的x值为0，而不是'U'。

以下是内存初始状态：

     +---+---+---+---+---+
buf: |   |   |   |   |   |
     +---+---+---+---+---+

     +---+
  x: | U |
     +---+

当你输入“stack”后，它看起来像这样：

     +---+---+---+---+---+
buf: | s | t | a | c | k |
     +---+---+---+---+---+

     +---+
  x: |\0 |
     +---+

如果你输入“大象”，它将显示为：

     +---+---+---+---+---+
buf: | e | l | e | p | h |
     +---+---+---+---+---+

     +---+
  x: | a | n   t  \0
     +---+

不用说，那些三个字符n、t和\0很可能会引起更多的问题。

这就是为什么人们说永远不要使用gets。它无法安全使用。

局部变量通常在堆栈上创建。在大多数实现中，堆栈向下增长而不是向上分配内存。因此，buf 可能位于比 x 更高的地址。这就是为什么当 buf 溢出时，它不会覆盖 x。

您可以通过编写 buf[-1]='v';printf("%c\n",x); 来确认这一点，尽管这可能受到填充的影响。还可以使用 printf("%i\n",buf - &x); 比较地址-如果结果为正数，则 buf 位于比 x 更高的地址。

但这完全取决于实现方式，并且可能会根据各种编译器选项而改变。正如其他人所说，您不应依赖任何这些内容。