this program uses gets(), which is unsafe.

好久没有来了,这次练习,遇到了一个有意思的提醒:this program uses gets(), which is unsafe.

gets()函数。

说道gets()函数,就要说道fgets()函数。

fgets()函数是从流stream中读入最多num个字符到字符数组str中,当遇到换行符时、或读到num-1个字符时停止。并且在结尾自动加上’\0’空字符。

gets()函数则是从标准输入stdin读取一个字符串,遇到换行或结束时候终止。不同于fgets,他没有指定num,所以需要注意字符数组str的大小。
fgets和gets之间没有宏定义的关系,彼此各自有自己的实现。那么为什么说gets函数不安全呢?因为蠕虫病毒的实现就是函数gets的“功劳”。gets函数的任务是从流中读入一个字符串。它的调用者会告诉它把读入的字符串放在什么地方。但是,gets()函数并不检查缓冲区大小,如果调用者提供了一个指向堆栈的指针,并且get()函数读入的字符数量超过了超过了缓冲区的空间大小,get()会愉快地将多出来的字符继续写入到堆栈中,这就覆盖了堆栈中原来的内容。

  1. int main(void)
  2.  {
  3.  char string[81];
  4. ……
  5.  gets(string);

这样任何多出来的数据都会被写入堆栈。
总之,普遍的建议就是用fgets()函数完全替代gets()函数。
另外:各种编译器对于gets()的态度不一样,有的会直接封杀编译不通过,有的则是提示,我用的gcc是直接通过不提示。但是在运行的时候终端却提示这个程序使用了gets函数,或许,是gcc给加上的一句话吧!
最后,文章的部分内容借鉴自这里:)

本文由 落格博客 原创撰写:落格博客 » this program uses gets(), which is unsafe.

转载请保留出处和原文链接:https://www.logcg.com/archives/148.html

About the Author

R0uter

如非声明,本人所著文章均为原创手打,转载请注明本页面链接和我的名字。

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注