我想出了这个小代码,但所有专业人士都说它很危险,我不应该写这样的代码。任何人都可以在“更多”细节中突出其漏洞吗?
int strlen(char *s){
return (*s) ? 1 + strlen(s + 1) : 0;
}
答案 0 :(得分:6)
它本身没有漏洞,这是完全正确的代码。当然,这是过早的悲观。除了最短的字符串之外,它将耗尽堆栈空间,并且由于递归调用,它的性能会很糟糕,但除此之外它还没问题。
尾部呼叫优化很可能无法应对此类代码。如果你想危险地生活并依赖于尾部调用优化,你应该将其改写为使用尾调用:
// note: size_t is an unsigned integertype
int strlen_impl(const char *s, size_t len) {
if (*s == 0) return len;
if (len + 1 < len) return len; // protect from overflows
return strlen_impl(s+1, len+1);
}
int strlen(const char *s) {
return strlen_impl(s, 0);
}
答案 1 :(得分:5)
危险它有点延伸,但它是不必要的递归,并且可能效率低于迭代替代方案。
我想还有一个非常长的字符串存在堆栈溢出的危险。
答案 2 :(得分:5)
此代码中存在两个严重的安全漏洞:
使用int代替size_t作为返回类型。如上所述,长于INT_MAX的字符串将导致此函数通过整数溢出调用未定义的行为。实际上,这可能导致将strlen(huge_string)计算为一些小值,如1,malloc'错误的内存量,然后执行strcpy,导致缓冲区溢出。< / p>
无限递归,可以溢出堆栈,即Stack Overflow。 :-)编译器可能选择优化递归到循环(在这种情况下,它可以使用当前的编译器技术),但不能保证它会。在最好的情况下,堆栈溢出只会使程序崩溃。在最糟糕的情况下(例如,在没有保护页面的线程上运行),它可能会破坏不相关的内存,可能会导致任意代码执行。
答案 3 :(得分:3)
已经指出的杀死堆栈的问题应该由一个不错的编译器修复,其中明显的递归调用被平铺成循环。我验证了这个假设并要求clang翻译你的代码:
//sl.c
unsigned sl(char const* s) {
return (*s) ? (1+sl(s+1)) : 0;
}
编译和反汇编:
clang -emit-llvm -O1 -c sl.c -o sl.o
# ^^ Yes, O1 is already sufficient.
llvm-dis-3.2 sl.o
这是llvm结果(sl.o.ll)的相关部分
define i32 @sl(i8* nocapture %s) nounwind uwtable readonly {
%1 = load i8* %s, align 1, !tbaa !0
%2 = icmp eq i8 %1, 0
br i1 %2, label %tailrecurse._crit_edge, label %tailrecurse
tailrecurse: ; preds = %tailrecurse, %0
%s.tr3 = phi i8* [ %3, %tailrecurse ], [ %s, %0 ]
%accumulator.tr2 = phi i32 [ %4, %tailrecurse ], [ 0, %0 ]
%3 = getelementptr inbounds i8* %s.tr3, i64 1
%4 = add i32 %accumulator.tr2, 1
%5 = load i8* %3, align 1, !tbaa !0
%6 = icmp eq i8 %5, 0
br i1 %6, label %tailrecurse._crit_edge, label %tailrecurse
tailrecurse._crit_edge: ; preds = %tailrecurse, %0
%accumulator.tr.lcssa = phi i32 [ 0, %0 ], [ %4, %tailrecurse ]
ret i32 %accumulator.tr.lcssa
}
我没有看到递归调用。确实,clang称为循环标签tailrecurse,它给出了一个关于clang在这里做什么的指针。
所以,最后( tl; dr )是的,这段代码是完全安全的,一个像样的标志的正常编译器会将递归输出。