来自man gets:
永远不要使用gets()。因为不知道在事先不知道数据的情况下,gets()将读取多少字符,而且由于gets()将继续存储超出缓冲区末尾的字符,因此使用它非常危险。它已被用于破坏计算机安全。请改用fgets()。
几乎到处都可以看到scanf以应该存在同样问题的方式使用:scanf("%s",string)。(缓冲区溢出/越界)这种问题在这种情况下存在吗?为什么scanf手册中没有相关引用?为什么gcc在使用-Wall编译时不发出警告?
附注:我知道有一种方法可以在格式字符串中指定字符串的最大长度:scanf:
char str[10];
scanf("%9s",str);
编辑:我不是在问前面的代码是否正确。我的问题是:如果scanf("%s",string)总是错误的,为什么没有警告,并且手册中也没有任何关于它的内容?
"%s"(没有字段宽度)的特定情况,发出警告是非常恰当的。scanf()、vscanf()、fscanf()和vfscanf()的情况。这个格式说明符在sscanf()和vsscanf()中可能是完全安全的,因此在这种情况下不应发出警告。这意味着您不能简单地将其添加到现有的“scanf-style-format-string”分析代码中;您需要将其拆分为“fscanf-style-format-string”和“sscanf-style-format-string”选项。sscanf() 和 vsscanf() 可以完全安全?是因为你可以检查 scanf 读取的原始字符串(第一个参数)并确保它适合吗?例如,如果两个大小相同,如果查找空格位置等。 - dbarbosa使用 gets() 永远不安全。正如您在问题中所说的那样,scanf() 可以安全地使用。然而,确定是否安全使用它是编译器更难解决的问题(例如,如果您在一个函数中调用 scanf(),并将缓冲区和字符计数作为参数传递,编译器将无法告诉您是否安全);在这种情况下,它必须假设您知道自己在做什么。
scanf("%5s",string) 取决于 string 的大小而可能正确或错误,正如你所说的那样,它无法判断。然而,由于缓冲区溢出问题,scanf("%s",string) 总是错误的。 - dbarbosa当编译器查看scanf的格式字符串时,它看到的是一个字符串!这是假设格式字符串不是在运行时输入的。一些编译器(如GCC)具有一些额外的功能来分析在编译时输入的格式字符串。那个额外的功能并不全面,因为在某些情况下需要运行时开销,而对于像C语言这样的语言来说是不可接受的。例如,在这种情况下是否可以检测出不安全的使用方式而不插入任何额外的隐藏代码:
char* str;
size_t size;
scanf("%z", &size);
str = malloc(size);
scanf("%9s"); // how can the compiler determine if this is a safe call?!
当然,如果你指定要读取的字符数,并且有足够的内存来存储字符串,那么使用 scanf 写安全代码是可行的。而在使用 gets 时,无法指定要读取的字符数。
scanf("%s", str)并警告用户,甚至比对传递给scanf的数字和参数类型进行检查更容易。 (顺便说一下,gcc会因为格式中没有%9s的参数而显示“警告:格式的参数太少”)。 - dbarbosascanf 不会分配自己的存储空间。你链接的 a 标志是 GNU 扩展,不是 C 标准的一部分。 - John Ledbetter%a表示十六进制浮点数,就像printf一样,并且是使用scanf读取浮点数的替代说明符。 - R.. GitHub STOP HELPING ICE
scanf是不安全的。 - aviraldgscanf("%s",...)是不安全的。这里有一个关于此问题的参考链接:http://c-faq.com/stdio/scanfprobs.html。我仍然不明白为什么手册中没有任何关于这个问题的说明。 - dbarbosa