无论是居室还是代码，我们总是有必要不时对其进行认真的清理。不幸的是，在我们开始清理时，总会产生这样的疑惑，那就是这些东西到底来自何方？为什么我们从未注意到它的存在？尽管能够清理部分内容，但总有一些会保留下来。如果您在某些方面与我相像，那么可能还会导致出现更明显、更新奇的问题。

　　

　　我们看一下问题出在什么地方。C 运行库亟待进行有效的改进，这里的改进不是指一般意义上的完善，而是使它具有稳固的结构，使它完全脱胎换骨！

　　

　　请认真考虑一下此问题。请问人们在什么情况下写出了诸如 strcpy 和 strcat 之类的函数？是很久以前 Kernighan 和 Ritchie 刚刚开发出 C 语言的那段美好时光，那时代码面临的威胁远没有现在严重，网络的互连也远没有现在普及。而现在的情况则让我摸不清头脑，那就是您仍然能够使用诸如 strcpy 的函数写出安全的代码。这就是数据在起作用。但诸如 strcpy 之类的函数本身无法帮助您写出安全的代码，并且在调用这类函数时可能出现灾难性的错误。正如 'Nuff 所说，是的，gets 只是一般的错误！

　　

　　那么，针对这种情况，我们能够采取什么措施呢？您可能听说过 strsafe.h 文件，该文件中包含了一组一致的、更安全的字符串处理函数，于 2002 年 Windows Security Push 活动期间开发，适用于 Visual Studio® .NET 2003 和 Platform SDK。可以查阅 Strsafe.h:Safer String Handling in C，了解有关 strsafe 的更多信息。

　　

　　也可以在许多开放源代码的操作系统中使用其他函数（比如，strlcpy 和 strlcat）。可以在 David Wheeler 撰写的 Secure Programming for Linux and Unix HOWTO 一文中查阅这两个函数的有关信息。

　　

　　管开发 strl* 和 strsafe 是一种有效的措施，我们仍然需要在核心的 C 运行库中创建更加可靠的功能，这正是经过更新的 CRT 发挥作用的地方。Microsoft Visual C++® 库开发小组决定跟踪并认真检查 CRT 中的每一个函数，以确定其中是否存在安全性方面的缺陷，找出可能的解决方法。众所周知，为了提高安全性，也为了有助于用户写出更加安全的代码，已经重新编写了许多函数（大约有 400 个左右）。

　　

　　新版 CRT 的新增功能

　　首先，本文所介绍的新增加的 CRT 函数将出现在 Visual Studio 2005 中，但最终发行的版本可能与目前的版本有所不同。其次要指出的是，仅仅通过改变编译器的某个参数，新的库不会奇迹般地使得不安全的代码变为安全的代码，但肯定有助于增加代码的安全性。

　　

　　更安全的可供选择的方法不会取代已有的功能。换言之， strcpy 仍将是 strcpy。它的更加安全的版本具有一个新名称，即 strcpy_s。但是，如果在编译时使用新的库，那么旧版本的函数将失效。所以需要说明的是，编译器会立即向您发出警告信息。也就是说，与修复安全性缺陷相比，改正编译器警告信息所指出的错误要更加容易。请认真考虑我就此问题提出的建议！

　　

　　某些函数（比如，calloc）仅仅加强了检查参数的工作，其功能与以前的版本完全相同，所以不存在 calloc_s 函数。稍后将介绍有关 calloc 函数的更多信息。

　　

　　我最赞同的更改是使用 strncat_s 函数代替了 strncat 函数。strncat 函数的问题在于它的最后一个参数不表示目标缓冲区的总的大小，它指示目标缓冲区中剩余的最小缓冲区的大小，以及需要复制的数目。这可能导致各种类型的 off-by-one（差 1）错误，甚至导致更严重的 off-by-lots（差多） 错误。请看下面的例子：

　　

　　if (szURL != NULL) {

　　　char　 szTmp[MAX_PATH];

　　　char　*szExtSrc, *szExtDst;

　　

　　　strncpy(szTmp, szURL, MAX_PATH);

　　

　　　szExtSrc = strchr(szURL, '.');

　　　szExtDst = strchr(szTmp, '.');

　　

　　　if(szExtDst) {

　　　　szExtDst[0] = 0;

　　

　　　　if (fValid)　

　　　　　strncat(szTmp, szExtSrc, MAX_PATH);　

　　　}

　　}

　　

　　调用 strncat 函数时出现错误-严重错误。实际上，这时将发生缓冲区溢出。无法将 MAX_PATH 字符串安全地复制到 szTemp 中，因为在调用 strncpy 函数时，已经将 szURL 添加至该字符串，这实际上减少了 szTmp 中剩余的空间。

　　

　　以下是一个较为简单的例子：

　　

　　char szTarget[12];

　　char *s = "Hello, World";

　　

　　strncpy(szTarget,s,sizeof(szTarget));

　　strncat(szTarget,s,sizeof(szTarget));

　　

　　如果在 Visual C++ 2003 中编译此程序，将出现一个错误，指示 szTarget 附近的数据已被破坏。这是因为编译器参数 /GS 在起作用。它检测到一个基于堆栈的缓冲区溢出，并中止了应用程序。

　　

　　可以使用以下代码来解决这个问题：

　　

　　char szTarget[12];

　　char *s = "Hello, World";

　　

　　strncpy(szTarget,s,sizeof(szTarget));

　　strncat(szTarget,s,strlen(szTarget) - strlen(s));

　　

　　但程序中仍然存在一个顽固的错误。如果目标缓冲区的长度正好等于源缓冲区的长度，那么许多 n 版本的函数不会使目标缓冲区以空字符结束，这使得 strlen(szTarget) 有可能返回一个大于目标缓冲区长度的值，因为没有末尾的“\0”字符。这样的话，程序会变得混乱不堪！

　　

　　以下是一个以更加灵活的方式使用新运行库的程序：

　　

　　char szTarget[12];

　　char *s = "Hello, World";

　　

　　size_t cSource = strlen_s(s,20);

　　strncpy_s(temp,sizeof(szTarget),s,cSource);

　　strncat_s(temp,sizeof(szTarget),s,cSource);

　　

　　其中的两个新增加的函数 strncpy_s 和 strncat_s 具有类似的特征：

　　

　　• 它们都返回错误代码 (errno_t)，而不返回指针。

　　

　　• 目标缓冲区 (char *)。

　　

　　• 目标缓冲区的总的字符计数 (size_t)。

　　

　　• 源缓冲区 (const char *)。

　　

　　• 源缓冲区总的字符计数 (size_t)。

　　

　　

　　记录两个缓冲区的计数，分别用于每个缓冲区。没有必要跟踪处于变化状态的目标缓冲区计数，虽然这一任务肯定较容易完成。此外还有其他引人入胜的特性。这两个函数都是以空字符来结束字符串，但以下功能是我特别看重的。请查看一下我在前面“发现安全漏洞”部分中所提供的代码示例：

　　

　　void noOverflow(char *str)

　　{

　　　char buffer[10];

　　　strncpy(buffer,str,(sizeof(buffer)-1));

　　　buffer[(sizeof(buffer)-1)]=0;

　　　/* 上面两行代码用于避免缓冲区溢出 */

　　}

　　

　　我在 2003 年 12 月发布的一篇文档中发现了这些代码，这篇文档来自一个大型的跨国软件公司（但不是 Microsoft），它用来向开发人员说明编写安全代码的优点。这段代码的问题是，它存在一个很明显的安全漏洞。如果 *str 指向 NULL，那么 strncpy 在复制 NULL 指针时将出现错误！在各种开放源代码的软件中所使用的 strlcat 存在同样的问题，但 strncat_s 不是这样。

　　

　　strncat_s 不会出现错误的原因在于，所有更新的运行库函数都会对输入的参数执行更为严格的检查。以下是 strncat_s 函数中参数有效性验证部分的内容：

　　

　　/* 验证部分 */

　　_VALIDATE_RETURN_ERRCODE(front != NULL, EINVAL);

　　_VALIDATE_RETURN_ERRCODE(sizeInTChars > 0, EINVAL);

　　_VALIDATE_RETURN_ERRCODE(back != NULL || count == 0, EINVAL);

　　

　　验证宏语句为：

　　

　　#define _VALIDATE_RETURN_ERRCODE( expr, errorcode \　　

　　{　　　　　　　　　　　　　　　　　　　　　　　　 \　　　　　　　　　　　　

　　　　　_ASSERTE( ( expr ) );　　　　　　　　　　　 \　　

　　　　　if ( !( expr ) )　　　　　　　　　　　　　　　　　{　　　　　　　　　　　　　　　　　　　　　　　　　　errno = errorcode;　　　　　　　　　　　　\　

　　　　　　_INVALID_PARAMETER(expr);　　　　　　　　 \　　　　　

　　　　　　return ( errorcode );　　　　　　　　　　 \　　　　　

　　　　　}　　　　　　　　　　　　　　　　　　　　　 \

　　}

　　

　　_INVALID_PARAMETER 用于在出错后进行的调试中提供文件的有关信息，以帮助用户调试代码。

　　

　　在学校，老师总是教导我们要检查函数参数。现在，这项工作将由 CRT 来完成。实现这一飞跃仅仅用了二十年。

　　

　　您应该清楚的一点是，strsafe 函数（比如，StringCchCopy 和 StringCchCat）所执行的操作与 strncpy_s 和 strncat_s 函数是不同的。strncat_s 函数在检测到错误之后，会将字符串设置为 NULL。但是在默认情况下， strsafe 函数将向目标填充尽可能多的数据，然后以 NULL 结束此字符串。可以在 strsafe 函数中加入以下代码来模仿这一操作：

　　

　　StringCchCatEx(dst,sizeof(dst)/sizeof(dst[0]),src,NULL,NULL,STRSAFE_NULL_ON_FAILURE)

　　

　　其他用于操作缓冲区的函数也具有同样的行为，这些函数包括各种 printf 和 scanf 函数、mbstowcs、strerror、_strdate 和 _strtime、asctime 以及 ctime 函数等。对于缓冲区操作函数以外的函数也进行了更新，这些函数包括 _makepath、_splitpath、getenv、rand 以及许多其他函数。