经常会用到C的格式化字符串,gcc/clang的扩展,都是可以进行字符串和可变参数的检测,不匹配,就会爆warning. 自己手写的,需要加上一点代码,否则不会进行检测. 1.  可变参数 void my_printf(const char* format, ...) __attribute__ ((format (printf, 1, 2))) 这里的1, 表示format string所在参数的下标(从1开始); 2表示可变参数开始的下标. 2. va_list void my_print(…

静态检查: 静态测试包括代码检查.静态结构分析.代码质量度量等.它可以由人工进行,充分发挥人的逻辑思维优势,也可以借助软件工具自动进行.代码检查代码检查包括代码走查.桌面检查.代码审查等,主要检查代码和设计的一致性, 代码对标准的遵循.可读性,代码的逻辑表达的正确性,代码结构的合理性等方面:可以发现违背程序编写标准的问题,程序中不安全.不明确和模糊的部分,找出程序中不可移植部分.违背程序编程风格的问题,包括变量检查.命名和类型审查.程序逻辑审查.程序语法检查和程序结构检查等内容.”.看了一系列的…

今天再次想启动Java代码静态检测工具的利用问题,主要再次尝试用了PMD,发现不少代码编码规范问题和好的代码建议,并学到不少自己之前没有注意到的Java方便的基础知识,感觉很不错,把相关明白的好的规则回忆总结下,再以后编码过程中要把随时利用代码静态检查工具,用好代码静态检查工具养成习惯.今天用到的PMD检查规则如下: If表达式必须使用{},无论有多少语句 While循环必须使用{},无论有多少语句 IfElse表达式必须使用{}  For循环语句必须使用{} 如果方法返回boolean,那么注…

这篇文献,作者针对基于PHP语言开发的web应用程序产生的污点型漏洞,提出了一种静态代码分析检测的方法.       先解释一下什么叫污点型漏洞,由于对于用户的输入没有进行有效的过滤,使其进入敏感函数,导致漏洞产生. 例如SQL注入,XSS,任意文件上传下载,命令执行,代码注入等类似这样的就称之为“污点型”漏洞.针对在没有网站源码时,现在有动态测试技术,缺陷在于代码覆盖率较低,容易常产生漏报.静态分析技术,作者觉得由于PHP语言具有动态性和弱类型两种特点,对其建模难度较大.将对C语言的静态分析技…

目录 分析工具 方法概述 二进制灰度图 字节(熵)直方图 字符串信息 ELF结构信息 源码分析与OPcode FCG references: 分析工具 readelf elfparser ninja GDB IDAPro Strings python库:pyelftools.lief 方法概述 数据/特征 算法模型 优点 缺点 二进制文件 byte-ngram [7].malConv [8] 不需要解析格式 序列超长,malconv卷积复杂度高 二进制文件 图像处理[1] 不需要解析格式 文件大…

如果我们要写跨平台的c/c++代码,很多时候需要处理由于不同编译器对c/c++各个标准支持力度不同导致的兼容性问题,一般通常的解决办法是:自己在代码中通过宏去判断各个编译器的版本.内置宏.标准库宏.__has_feature等来检测处理. 自己如果在代码中按上述的方式检测,会很繁琐,尤其是像c++这种存在大量语法特性,如果一一检测过来,工作量是非常大的. 通过构建工具预先检测编译特性 另外比较省事的方式,就是依赖构建工具提前做好检测,然后把检测结果作为宏添加到编译中去,这样代码只需要判断对应的特…

catalog . 引论 . 构建一个编译器的相关科学 . 程序设计语言基础 . 一个简单的语法制导翻译器 . 简单表达式的翻译器(源代码示例) . 词法分析 . 生成中间代码 . 词法分析器的实现 . 词法分析器生成工具Lex . PHP Lex(Lexical Analyzer) . 语法分析 . 构造可配置词法语法分析器生成器 . 基于PHP Lexer重写一份轻量级词法分析器 . 在Opcode层面进行语法还原WEBSHELL检测 0. 引论 在所有计算机上运行的所有软件都是用某种程序设…

总览 (SYNOPSIS) gcc [ option | filename ]... g++ [ option | filename ]... 警告 (WARNING) 本手册页 内容 摘自 GNU C 编译器 的 完整文档, 仅限于 解释 选项 的 含义. 除非 有人 自愿 维护, 否则 本手册页 不再 更新. 如果 发现 手册页 和 软件之间 有所矛盾, 请 查对 Info 文件, Info 文件 是 权威 文档. 如果 我们 发觉 本手册页 的 内容 由于 过时 而 导致 明显 的 混乱…

作为JVM性能优化系列文章的第2篇,本文将着重介绍Java编译器,此外还将对JIT编译器常用的一些优化措施进行讨论(参见“JVM性能优化,Part 1″中对JVM的介绍).Eva Andreasson将对不同种类的编译器做介绍,并比较客户端.服务器端和层次编译产生的编译结果在性能上的区别,此外将对通用的JVM优化做介绍,包括死代码剔除.内联以及循环优化. Java编译器存在是Java编程语言能独立于平台的根本原因.软件开发者可以尽全力编写程序,然后由Java编译器将源代码编译为针对于特定平台的高…

如何得到库 ①先写好一堆的.c文件(.c:我们所需要的各种工具函数) ②将这些.c编译为对应的.o ③将所有的这些.o打包为一个仓库文件(静态库或者动态库) 静态库:按照静态库的方式打包 动态库:按照动态库的方式打包 因为打包的规则不同,所以得到库也是不同的 共性与个性 二者的共性 都是事先做好的.o仓库.库这个东西很好,如果没有库这个东西的话,每次都要自己重复实现这些工具函数,这会非常的麻烦.eg:如果没有库提供printf的话,写个简单的helloworld,printf函数还需要自己实现,…