Bibliothèque C sécurisante

Remonter à Référence de la bibliothèque d'exécution C

La principale raison pour laquelle la bibliothèque C sécurisante a vu le jour a été le besoin de vérification des limites pour les fonctions de gestion des chaînes dans la bibliothèque C. De nombreuses fonctions de la bibliothèque C s'attendent à ce que l'appelant fournisse des paramètres chaîne assez longs pour contenir le résultat des opérations. Quand une chaîne plus grande est écrite "sur" une chaîne plus petite, les données sont en fait écrites au-delà de la fin, en écrasant d'autres données de programmes. Cela peut conduire à des échecs "mystérieux", étant donné que le programme n'a aucun moyen de savoir si quelque chose était incorrect ni quand.

Une solution typique consistait à essayer d'utiliser des chaînes qui étaient "assez grandes" mais cela pouvait conduire aux deux problèmes suivants : soit le résultat était une perte d'espace, soit le "assez grand" de l'utilisateur n'était pas assez grand dans la pratique. En outre, les dépassements de capacité des tampons peuvent être exploités afin d'exécuter du code dangereux, en compromettant la sécurité des systèmes d'exploitation et des réseaux.

Pour de nombreuses fonctions de la bibliothèque d'exécution C, la bibliothèque C sécurisante introduit des paramètres supplémentaires qui sont utilisés pour la vérification des limites de tableaux de caractères, et les données ne sont jamais écrites au-delà de la fin d'un tableau. En outre, elle introduit des contraintes d'exécution et le moyen pour l'utilisateur de définir ses propres fonctions de gestion des violations d'exécution. En faisant cela, le programme peut savoir quand et où quelque chose ne va pas avec un tableau de caractères et peut corriger l'erreur, ou échouer élégamment.

Le style de programmation que la bibliothèque C sécurisante préconise génère du code mieux sécurisé et comportant moins de bogues.

Exemple

int main(){ 
    char corpName[10];
    printf ("Enter your corporation name:  ");
    gets(name);
    printf ("Your corporation name is: %s", corpName);
    return 0;
}

Si le client entre un nom de plus de 9 caractères, une corruption des données et de la pile peut se produire. Changer gets(name); en gets_s(name,10) élimine ces problèmes. Quel que soit le nombre de caractères entré par l'utilisateur, seuls les 9 premiers caractères sont stockés dans le tableau de caractères corpName.

stdio.h

Routines d'entrée/sortie

• tmpfile_s
• tmpnam_s

Fonctions d'accès aux fichiers

• fopen_s
• freopen_s

Fonctions d'entrée/sortie formatées

• fprintf_s, fwprintf_s
• fscanf_s, fwscanf_s
• printf_s, wprintf_s
• scanf_s, wscanf_s
• snprintf_s, snwprintf_s
• sprintf_s, swprintf_s
• sscanf_s, swscanf_s
• vfprintf_s, vfwprintf_s
• vfscanf_s, vfwscanf_s
• vprintf_s, vwprintf_s
• vscanf_s, vwscanf_s
• vsnprintf_s, vsnwprintf_s
• vsprintf_s, vswprintf_s
• vsscanf_s, vswscanf_s

Fonctions d'entrée/sortie de caractères

• gets_s

stdlib.h

Gestion des contraintes d'exécution

• set_constraint_handler_s
• abort_handler_s
• ignore_handler_s

Communication avec l'environnement

• getenv_s, wgetenv_s

Utilitaires de recherche et de tri

• bsearch_s
• qsort_s

string.h

Fonctions de copie

• memcpy_s
• memmove_s
• strcpy_s, wcscpy_s
• strncpy_s, wcsncpy_s

Fonctions de concaténation

• strcat_s, wcscat_s
• strncat_s, wcsncat_s

Fonctions de recherche

• strtok_s, wcstok_s

Fonctions diverses

• strerror_s, _wcserror_s
• strerrorlen_s

time.h

Fonctions de conversion horaire

• asctime_s, wasctime_s
• ctime_s, wctime_s
• gmtime_s
• localtime_s