一道C语言安全编码题目
1、前言
最近在网上看到一道C语言题目,用C语言实现一个函数,给定一个int类型的整数,函数输出逆序的整数,例如输入123,则输出字符串"321",,输入-123,则输出字符串"-321"。题目要求,不使用标准库,不得分配内存。当时觉得蛮简单的,这不就是类似字符串逆转嘛,自己尝试做了一下,测试发现,还是有很多地方考虑不周全。今天在此整理一下基础知识,作为一名安全开发人员,时刻需要注意代码的安全,防止有任何漏洞。题目给出的函数如下:
#include <stdio.h> const char * parseInt(int data)
{
return "";
} int main()
{
printf("%s\n", parseInt());
return ;
}
2、思考过程
写代码最怕的就是没有想好,一上来就写,在写的过程中不断的测试修改,这样很浪费时间。因此需要先好好想一下,这个题目到底考些什么呢?
(1)int类型的整数分为正数、0、负数,如何处理这些边界值
(2)整数与字符串之间的转换,如何将一个整数转换为一个字符
(3)如何返回一个const char * 类型的字符串
(4)当输入的整数超过int的范围如何处理
3、编码过程
开始写代码的思路如下:定义一个char类型的数组,用于保存结果。使用对10取余和除法操作依次获取每一位的数字,然后根据ASSIC码转换为字符。将字符拼接起来,返回字符串数组结果。编码实现如下:
const char * parseInt(int data)
{
char str[16] = {0};
int i = ;
if (data < ) {
data = -data;
str[i++] = '-';
}
int tmp = data;
while (tmp / ) {
char ch = tmp % + ;
tmp = tmp / ;
str[i++] = ch;
}
str[i++] = tmp % + ;return str;
}
当初没有考虑那么多,编译发现出现如下错误:
一看编译错误,才意识到自己掉入坑中。题目要求返回一个字符串,而且不用分配内存。当时就想直接定义一个字符数组进行返回,而定义的str属于函数局部变量。
一个函数的局部变量都是存在stack中的,当这个函数调用过程结束时,这个局部变量都是要释放掉的,所以就会产生这样的warning,这个是和变量的life time相关的,所以解决方法有:
1.将char result[16]改为static型
2.使用malloc向heap申请,这些是需要caller用free去释放的
于是使用static 类型字符串,代码改进如下:
const char * parseInt(int data)
{
static char str[16] = {0};
int i = ; if (data < ) {
data = -data;
str[i++] = '-';
} int tmp = data;
while (tmp / != ) {
char ch = tmp % + ;
tmp = tmp / ;
str[i++] = ch;
}
str[i++] = tmp % + ;
return str;
}
int main()
{
printf("%s\n", parseInt(123));
printf("%s\n", parseInt(12345678));
printf("%s\n", parseInt(-89790));
return 0;
}
测试结果如下:
改为static之后,编译成功,看输出的结果上看,前面两个输出是正确的,而第三个输出的结果是错误的。尼玛,再次掉入坑中,对static变量的应用不精通啊。为什么每次到看到结果后才想起来?
虽然在函数中定义了static局部变量,使得变量的变为静态stack存储区域,生命周期从函数中变成了这个程序的范围。但是static局部变量在函数第一次调用的时候会初始化,后面调用就不会了,直接使用了。因此导致了刚才的结果输出不对,复用了上次遗留的结果。
static静态局部变量属于静态存储方式,它具有以下特点:
(1)静态局部变量在函数内定义 它的生存期为整个源程序,但是其作用域仍与自动变量相同,只能在定义该变量的函数内使用该变量。退出该函数后, 尽管该变量还继续存在,但不能使用它。
(2)允许对构造类静态局部量赋初值 例如数组,若未赋以初值,则由系统自动赋以0值。
(3)对基本类型的静态局部变量若在说明时未赋以初值,则系统自动赋予0值。而对自动变量不赋初值,则其值是不定的。 根据静态局部变量的特点, 可以 看出它是一种生存期为整个源程序的量。虽然离开定义它的函数后不能使用,但如再次调用定义它的函数时,它又可继续使用, 而且保存了前次被调用后留下的 值。 因此,当多次调用一个函数且要求在调用之间保留某些变量的值时,可考虑采用静态局部变量。虽然用全局变量也可以达到上述目的,但全局变量有时会造成 意外的副作用,因此仍以采用局部静态变量为宜。
第一次调用函数,static变量,初始化。
第二次,及以后,调用函数,static变量,不会初始化。
继续改进代码,在函数中将static变量每次使用for循环进行初始化,改进代码如下:
#include <stdio.h> const char * parseInt(int data)
{
static char str[] = {};
int i = ; 8 int t = 0;
9 for (; t < 16; t++) {
10 str[t] = 0;
11 }
12
if (data < ) {
data = -data;
str[i++] = '-';
} int tmp = data;
while (tmp / != ) {
char ch = tmp % + ;
tmp = tmp / ;
str[i++] = ch;
} str[i++] = tmp % + ; return str;
} int main()
{
printf("%s\n", parseInt());
printf("%s\n", parseInt());
printf("%s\n", parseInt(-));
return ;
}
这次输出结果如下:
终于得到了正确答案,看似很简单的题目,折腾的这么久,才搞出来。扩展一下,大家看看如下这个输出什么呢:
printf("%s, %s, %s\n", parseInt(),parseInt(-), parseInt());
这个结果是什么呢?为什么会这样呢?
printf("%s\n", parseInt(0x8FFFFFFF));
printf("%s\n", parseInt(0xFFFFFFFF));
这个结果是什么呢?为什么会这样呢?
int 类型4个字节,32位组成。int的最高位作为符号位,需要特殊处理。
实际运行结果如下:
一道C语言安全编码题目的更多相关文章
- 一道c语言运算符优先级问题
一道c语言运算符优先级问题 #include <iostream> using namespace std; int main() { char test[] = {"This ...
- Go语言安全编码规范-翻译(分享转发)
Go语言安全编码规范-翻译 本文翻译原文由:blood_zer0.Lingfighting完成 如果翻译的有问题:联系我(Lzero2012).匆忙翻译肯定会有很多错误,欢迎大家一起讨论Go语言安全能 ...
- 值得一做》一道类似于货车运输的题目(BZOJ3732)(easy+)
这是一道模板套模板的题目,只要会LCA和最小生成树就可以做,水题 直接先甩题目 Description 给你N个点的无向图 (1 <= N <= 15,000),记为:1…N. 图中有M条 ...
- 如何使用 PHP 语言来编码和解码 JSON 对象
PHP JSON 本章节我们将为大家介绍如何使用 PHP 语言来编码和解码 JSON 对象. 环境配置 在 php5.2.0 及以上版本已经内置 JSON 扩展. JSON 函数 函数 描述 json ...
- c#基础语言编程-编码
字符编码是计算机技术的基础理论,其字符编码有ASCII码.UTF-8.还有就是GB2312,当然这是在中国常用的. 1.ASCII码 在计算机内部所有的信息都是以二进制字符进行存储.用每个二进制位中的 ...
- C语言字符编码处理
一.字符编码识别 1.简介 uchardet是一个开源的用于文本编码检测的C语言库,其功能模块是用C++实现的,通过一定数量的字符样本独立的分析出文本的编码,当前已经支持UTF-8/GB13080/B ...
- C语言经典面试题目(转的,不过写的的确好!)
第一部分:基本概念及其它问答题 1.关键字static的作用是什么? 这个简单的问题很少有人能回答完全.在C语言中,关键字static有三个明显的作用: 1). 在函数体,一个被声明为静态的变量在这一 ...
- 刷题向》关于一道尺取法的神题目(BZOJ4653)(HARD-)(BZOJ 30题纪念)
不得不说,这也许会是一道长期在我的博客里作为“HARD”难度存在的题 这道题能很好的考验选手的思考能力,但本蒟蒻最后还是听了省队爷讲了之后才会...(默默面壁) 题目里,说对于每一个点,是用当前选出的 ...
- php 多语言(UTF-8编码)导出Excel、CSV乱码解决办法之导出UTF-8编码的Excel、CSV
新项目,大概情况是这样的:可能存在多国.不同语种使用者,比喻有中文.繁体中文,韩文.日本等等,开发时选择了UTF-8编码,开发顺利,没有问题.昨天做了一个csv导出功能,导出的东西完全乱了: 设置mb ...
随机推荐
- Linux Bootup Time
Linux Bootup Time 英文原文地址:http://elinux.org/Boot_Time 1. 简介 启动时间这一话题包括很多子话题,比如启动时间的衡量.启动时间的分析.人为因素分 ...
- idea: 纯 http 上的双向通信
纯 http 上的双向通信 最近大概看了下 rxJava 的订阅者模式,然后突发奇想有没有可能用类似的思路实现纯 http 上的双向通信 A 是传统的 http 服务器 B 是普通的客户端,假设我们能 ...
- spark2.0系列《一》—— RDD VS. DataFrame VS. DataSet
虽说,spark我也不陌生,之前一直用python跑的spark,基本的core和SQL操作用的也是比较熟练.但是这一切的基础都是在RDD上进行操作,即使是进行SQL操作也是将利用SpaekConte ...
- WF4.0以上使用代码完整自定义动态生成执行工作流Xaml文件
给大家分享一下,如何完全使用代码自定义的创建生成工作流文件(用代码创建Xaml文件),并且动态加载运行所生成的工作流. 工作流生成后 在Xaml文件里的主要节点如下: 输入输出参数 <x:Mem ...
- poj3320尺取法
Jessica's a very lovely girl wooed by lots of boys. Recently she has a problem. The final exam is co ...
- 关于“foreach循环”中遇到的几个问题总结
1.列表页面用"foreach循环"的时候数据没有显示,此时需要检查你对象模型中属性的首字母是否大写,切记不能大写(本人在做一个项目的时候,对象模型是别人建立的,属性首字母大写了, ...
- js-获取两个字符串日期的相隔周
例如说"2017-04-01 23:00:00"是周六, "2017-04-28 23:00:00"是周五,包含各自所在的那一周,我真正需要获得的结果是5个周. ...
- 并发容器之CopyOnWriteArrayList(转载)
Copy-On-Write简称COW,是一种用于程序设计中的优化策略.其基本思路是,从一开始大家都在共享同一个内容,当某个人想要修改这 个内容的时候,才会真正把内容Copy出去形成一个新的内容然后再改 ...
- docker安装hadoop集群
docker安装hadoop集群?图啥呢?不图啥,就是图好玩.本篇博客主要是来教大家如何搭建一个docker的hadoop集群.不要问 为什么我要做这么无聊的事情,答案你也许知道,因为没有女票.... ...
- js基础整理总结
变量和变量作用域 变量和函数声明提升定义 Var a=100; Function test(){ 这时候由于变量声明提升,a变量已经声明,值为undefined Console.log(a); Var ...