一、 简介
微软的Visual C++2005发布版本对于有志于轻松、迅速地编写安全可靠的应用程序的编程爱好者来说是正确地选择。正如你所听到的那样,Visual C++中语言和库的新特点使开发安全、可靠的应用程序比以前更容易。它即提供了功能强大并且灵活的标准C++,又提供了适于.NET框架下编程的最强大的开发语言。
本文中,我主要探讨Visual C++2005发布版本中部分语言和库的新特色,无论是对于教学项目还是大的应用工程,这都将帮助你在编写安全可靠的代码时提高工作效率。
二、C运行时库的安全特点
如果你正在使用Visual C++创建使用C运行时库的应用程序,你将非常欣慰地了解到现在你所依赖的许多库函数都有了更安全的版本。对于需要一个或多个缓冲作为输入的函数来说,已经添加了长度参数,以此让函数来确信不会超越缓冲的边界。现在更多的函数开始对参数进行合法性检查,必要时将调用无效参数处理器。让我们来看一些简单的例子:
C运行时库中最不可靠的是gets函数,它从标准输入中读取一行。思考下面的一个简单的例子:
char buffer[10] = { 0 };
gets(buffer);
第一行代码声明了一个缓冲变量,并将缓冲区中的字符初始化设置为0。为避免意外情况发生将变量初始化为一个众所周知的值是一个非常好的主意。紧接着,看似清白无辜的gets函数从标准的输入流中读取一行并且写入到buffer缓冲区内。这有什么错误吗?对于函数来说C类型的数组不能实现值传递,而是传递了指向数组第一个元素的指针。所以在函数看来,char[ ]相当于char*指针,并且是一个不附带可以决定所指向的缓冲区大小尺寸的任何额外信息的原始指针。那么gets函数是怎么作的呢?它假设缓冲区无限大(UINT_MAX 是有精确尺寸的),并将持续地从输入流中拷贝字符到缓冲区内。攻击者可以轻易地使用这个弱点,这种不广为人知的类型错误被称为缓冲溢出。
很多最初的C运行时库函数遭受同样的与参数确认有关的问题,并且现在因此受到抨击。一定要牢记对于当前所要写的应用程序来说,性能处于次要地位,我们现在生活在一个安全第一的世界。每一个受到批评的函数已经被一个提供同样函数功能,但添加了安全特点的函数所代替。当然,根据你在已经存在的代码中所使用的旧的库函数的多少,你可能需要花费一些时间来代码更替到新的、更安全的版本。这些新的函数有一个_s后缀,例如,gets函数被gets_s函数代替;遭受抨击的strcpy函数被strcpy_s函数代替。这里有一个例子:
char buffer[10] = { 0 };
gets_s(buffer, sizeof (buffer) / sizeof (buffer[0]));
gets_s函数有一个额外的参数,用来显示可以写入的最大字符数量,这里包括一个NULL终结符。我使用了sizeof操作符,它能决定数组的长度,因为编译器在编译时决定sizeof操作符返回的结果。记住,sizeof返回操作数的长度是以字节为单位的,所以用数组长度来除以数组中第一个元素的长度将返回数组中元素的个数。这种简单的方法可以移植到Unicode编码下使用_getws_s的情况,这个函数也需要得知以字节为单位的缓冲区长度。
正如我所提到的,另外一个接受安全检查的常用函数strcpy函数,就象gets函数一样,它没有方法来保证有效的缓冲区尺寸,所以它只能假定缓冲足够大来容纳要拷贝的字符串。在程序运行时,这将导致不可预料的行为,正如我所提到的,为了安全需要避免这些不可预料的行为,这有一个使用安全的strcpy_s函数的例子。
char source[] = "Hello world!";
char destination[20] = { 0 };
strcpy_s(destination, sizeof (destination) / sizeof (destination[0]), source);
有很多原因来喜欢这个新的strcpy_s函数。最明显的区别是的额外的、以字节为单位的参数,它用来确认缓冲区大小。这允许strcpy_s函数可以进行运行时检查,以确定写入的字符没有超过目标缓冲区的边界。还有一些其它的检查方法来确定参数的有效性。在调试版本中这些检测方法,包括显示调试报告的"断言"(assertions)方法,如果它们的条件没有满足,它们将显示调试报告。无论是调试还是发行版本,如果一个特定的条件没有得到满足,一个无效的参数管理器将被调用,它默认的行为是抛出一个访问冲突来终止应用程序。这非常好的实现了让你的应用程序持续运行,而不会产生不可预期的结果。当然,这种情况完全可以通过确保类似于strcpy_s的函数不调用无效参数来避免。
前一个例子可以通过新的_countof宏来进一步简化,这个宏移抛开了对有错误倾向的sizeof操作符的需要。_countof宏返回C类型数组的元素数量。这个宏本身对应了一个模版,如果传递一个原始指针的话,它将无法通过编译。这有一个例子:
strcpy_s(destination, _countof(destination), source);
三、使用C++标准库
已经看了C运行时库新增强的安全特性,让我们来看一下如何使用C++标准库来进一步减少你的代码中的相似错误。
当你从C运行时库转向C++的标准库,让你从C++开始受益的一个最有效的方法是使用库中的矢量类(Vector class)。矢量类是C++标准库中的一个模仿一维T数组的容器类,这里T可以是事实上的任何类型,你的代码中使用缓冲区的地方都可以用矢量对象来代替。让我们来考虑上一节的例子,第一个例子我们使用gets_s函数来从标准输入中读取一个行,考虑用下面的代码代替:
std::vector<char buffer(10);
gets_s(&buffer[0], buffer.size());
最值得注意的一个区别是缓冲区变量现在是一个带有可用方法和操作符的矢量对象,这个矢量对象初始化为10个字节长度,并且构造函数将每个元素都初始化为0,表达式&buffer[0]用于得到矢量对象的第一个元素的地址,向期待一个简单缓冲区的C函数传递一个矢量对象是一种正确的方法。与sizeof操作符不同的是,所有的容器的尺寸测量是基于元素的,而不是基与字节的。例如,矢量的size方法返回的是容器的元素数量。
在上节的第二个例子里,我们使用strcpy_s函数从源缓冲区向目标缓冲区拷贝字符。应该清楚矢量对象是如何代替原始的C类型的数组,为了更好的说明这一点,让我们来考虑另外一个非常有用的C++标准库的容器。
提供的basic_string类使得字符串在C++中可以作为正常的类型来操作。它提供了各种各样的重载操作符,为C++程序开发人员提供了自然的编程模式。由于优于strcopy_s及其它操作字符串的函数,你应该首选basic_string函数。basic_string以字节为单位的T类型容器。这里T是字符类型。C++标准类库对于常用的字符类型提供类型定义。string和wstring中的元素类型分别被定义为char和wchar类型。下面的例子说明basic_string类是多么简单和安全:
std::string source = "Hello world!";
std::string destination = source;
basic_string类也提供了你所希望的、常用的字符串操作的方法和操作符,象字符串联合及子串的搜索。
最后,C++标准库提供了一个功能非常强大的I/O库,用来安全、简单地与标准输入输出、文件流进行交互操作。虽然对于gets_s函数来说使用矢量对象比使用C类型的数组更好,但你可以通过使用定义的basic_istream 和 basic_ostream类进一步简化。实际上,你可以书写简单并且类型安全的代码从流中来读取包括字符串在内的任何类型。
std::string word;
int number = 0;
std::cin word number;
std::cout << word
<< std::endl
<< number
<< std::endl;
cin被定义成一个basic_istream流,从标准的输入中提取字符类型的元素。wcin是用于wchar_t元素。另一方面,cout被定义为一个basic_ostream流,用于向标准的输出流写入操作。正如你能想象的,这种模式比起gets_s和puts函数来可以无限的扩展。但是,真正的价值是在于它非常难以产生让你的应用程序出现安全裂痕的错误。
四、C++标准库中的边界检查
默认情况,C++标准库中大量的容器对象和迭代对象没有提供边界检查。例如,矢量的下标操作符通常是一个比较快,但有潜在的危险性的操作单独元素的方法。如果你正在寻找得到确认检查的操作方法,你可以转向"at"方法。安全性的增加是以牺牲性能为代价的。当然,绝大情况下性能的降低是可以忽略不计的,但是对于性能要求第一位的代码来说,这可能是非常有害的,思考一下下面的简单函数:
void PrintAll(const std::vector<int& numbers)
{
for (size_t index = 0; index < numbers.size(); ++index)
{
std::cout << numbers[index] << std::endl;
}
}
void PrintN(const std::vector<int& numbers, size_t index)
{
std::cout << numbers.at(index) << std::endl;
}
PrintAll函数使用了下标操作符,因为索引由函数控制,并且可以确认是安全的。另一方面,PrintN函数不能保证索引的有效性,所以它使用了更安全的"at"方法来代替。当然,并不是所有的容器的存取操作都象这么简洁明了。
在保证C++标准库的安全特性的同时,Visual C++2005继续坚持并在很多情况下改进了C++标准库的运行特性,同时提供了调节C++标准库安全性的特色。一项受人欢迎的改进是在调试版本中添加了范围检查,这对你的发行版本性能并不构成影响。但这确实帮助你在调试阶段捕获越界错误,甚至是使用传统上不安全的下标操作符的代码。
不安全的函数,象vector的下