C语言并不是一种很方便的语言，它的字符串就是一例。按照C语言的定义，“字符串就是一段内存空间，里面包含ASCII字符，并且，以”\0”结尾，总共能存放n-1个字符。”按照这个描述，字符串处理确实很麻烦，还很容易出错。

       为了方便用户，C语言标准库向用户提供了一些字符串函数，如字符串拷贝、构造、清空等函数，在一定程度上方便了用户的使用。但是，我无意中发现，这些函数还是有些隐患的。

       事情很简单，我注意到我写的一些程序，老是有内存读写错误，但是，经过仔细检查我所有的数据Buffer，以及相关的处理函数，又没有找到什么错误。于是我把怀疑的目光投向我常用的一些字符串处理函数上，如strcpy、sprintf等。在经过几次仔细地跟踪之后，我发现内存错误出自于此。于是，我开始研究如何安全地使用字符串这个话题。

1       字符串拷贝函数

1.1    不安全的strcpy

首先，我写了这样一个测试函数：

void strcpyTest0()

{

       int i;

       char szBuf[128];

       for(i=0;i<128;i++) szBuf[i]='*';

       szBuf[127]='\0';     //构造一个全部是*的字符串

       char szBuf2[256];

       for(i=0;i<256;i++) szBuf2[i]='#';

       szBuf2[255]='\0';   //构造一个全部是#的字符串

       strcpy(szBuf,szBuf2);

       printf("%s\n",szBuf);

}

很简单，把一个字符串拷贝到另外一个空间，但是，很不幸，源字符串比目标地址要长，因此，程序很悲惨地死去了。

1.2    还是不安全的strncpy

通过上例，我发现我需要在拷贝时多输入一个参数，来标明目的地址有多长，检查C语言的库函数说明，有一个strncpy可以达到这个目的，这个函数的原型如下：

char *strncpy( char *strDest, const char *strSource, size_t count );

好了，这下我们的问题解决了，我写出了如下代码：

void strcpyTest1()

{

       int i;

       char szBuf[128];

       for(i=0;i<128;i++) szBuf[i]='*';

       szBuf[127]='\0';

       char szBuf2[256];

       for(i=0;i<256;i++) szBuf2[i]='#';

       szBuf2[255]='\0';

       strncpy(szBuf,szBuf2,128);

       printf("%s\n",szBuf);

}

一切都显得很好，但是，当我输出结果的时候，发现了问题，字符串后面有时会跟几个奇怪的字符，好像没有用”\0”结束，于是我把上面的拷贝语句改成“strncpy(szBuf,szBuf2,8);”，只拷贝8个字符，问题出现了，程序输出如下：

########***********************************************************************************************************************

果然，当请求的目标地址空间比源字符串空间要小的时候，strncpy将不再用”\0”来结束字符串。巨大的隐患。

1.3    安全地字符串拷贝函数

我仔细想了想，我认为我需要如下一个字符串拷贝函数：

1、  允许用一个整数界定目标地址空间尺寸。

2、  当目标地址空间nD小于源字符串长度nS时，应该只拷贝nD个字节。

3、  任何情况下，目标地址空间均应该以”\0”结束，保持一个合法的字符串身份。因此，得到的字符串最大长度为nD-1。

于是，我写了这么一个字符串拷贝函数：

void xg_strncpy1(char *pD, char *pS,int nDestSize)

{

       memcpy(pD,pS,nDestSize);

       *(pD+nDestSize-1)='\0';

}

       很EASY是不，将这个拷贝函数代入上面的例子，只输出7个”#”， 结果正确。

1.4    内存读错误的思考

本来以为可以就此打住了，不过，没多久，我就发现一个奇怪的现象，这个函数在VC的Debug模式下有错误，但是Release模式下却一切正常。

我奇怪了很久，终于有一天我忍不住了，决定解决这个问题，我把上面的memcpy用自己的一个复制循环代替，单步跟踪，想看看究竟怎么回事？

原因找到了，我希望拷贝一个256字节长的字符串，但是，拷贝到第33字节时出错，检查程序，发现我的源字符串空间只有32 Bytes，原来，我上面的代码只是防止了内存写出界，但没有针对读出界进行检查，在VC的Debug模式下，内存读出界也是一种非法错误，因此被报错。

知道了原因，解决就很简单了，我把上面的拷贝函数改成如下形状：

void xg_strncpy2(char *pD, char *pS,int nDestSize)

{

       int nLen=strlen(pS)+1;

       if(nLen>nDestSize) nLen=nDestSize;

       memcpy(pD,pS,nLen);

       *(pD+nLen-1)='\0';

}

一切OK。

2       字符串构造函数

2.1    不安全的sprintf

如同上例，我在修改拷贝函数的同时，我也想到了另外一个我常用的字符串构造函数sprintf，显然，这个函数没有界定目标地址空间的尺寸，也是不安全的，下面的代码将会造成崩溃：

void sprintfTest0()

{

       int i;

       char szBuf[128];

       for(i=0;i<128;i++) szBuf[i]='*';

       szBuf[127]='\0';

       char szBuf2[256];

       for(i=0;i<256;i++) szBuf2[i]='#';

       szBuf2[255]='\0';

       sprintf(szBuf,szBuf2);

       printf("%s\n",szBuf);

}

2.2    还是不安全的_snprintf

查阅库函数手册，找到这么一个函数_snprintf，其函数原型如下：

int _snprintf( char *buffer, size_t count, const char *format [, argument] ... );

这个函数允许界定目标地址尺寸，但是，由于研究拷贝函数的经验，我怀疑它也有strncpy相同的问题，因此，我写了这么一段代码测试：

void sprintfTest1()

{

       int i;

       char szBuf[128];

       for(i=0;i<128;i++) szBuf[i]='*';

       szBuf[127]='\0';

       char szBuf2[256];

       for(i=0;i<256;i++) szBuf2[i]='#';

       szBuf2[255]='\0';

       _snprintf(szBuf,8,szBuf2);

       printf("%s\n",szBuf);

}

果然，程序输出如下：

########***********************************************************************************************************************

同样的错误，没有用”\0”结束，我必须另外想方法。

另外，还发现了另外一个不足，就是这个时候，_snprintf函数返回-1，不再返回打印的字符数，那么，我们如果使用如下代码将会造成逻辑错误，甚至可能崩溃：

char szBuf[256];

int nCount=0;

while(1)  //这里表示循环构造

{

       nCount+=_snprintf(szBuf+nCount,256-nCount,”... ...”);     //多个字符串构造成一个字符串

}

注意，代码利用_snprintf返回的值，来确定下一个起始点，这很常用，但是，当_snprintf返回-1的时候，有可能会写到*(szBuf-1)的位置上，典型的内存写出界。

2.3    安全地字符串构造函数

经过仔细思考，我构造了如下一个函数：

int xg_printf(char* szBuf,int nDestSize,char *szFormat, ...)

{

       int nListCount=0;

       va_list pArgList;

       va_start (pArgList,szFormat);

       nListCount+=_vsnprintf(szBuf+nListCount,

              nDestSize-nListCount,szFormat,pArgList);

       va_end(pArgList);

       *(szBuf+nDestSize-1)='\0';

       return strlen(szBuf);

}

注意，这里我采用了变参函数设计，为的是和sprintf一样方便，另外，最后一个return也非常重要，因为很多场合，我们需要知道究竟打印了多少字符。将这段函数代入上面的例子后一切正常。

总结：C语言字符串库函数可能是出于提高性能目的，在一旦条件不够的时候，往往直接返回，忘了采用”\0”结束字符串。这会造成下一次读取字符串时，数据边界不可控。格式化打印函数，返回值设计不合理，不永远是一个正整数，会造成逻辑隐患。因此，建议大家有兴趣可以参考一下我提供的两个函数。

另外，以上仅为我个人测试之作，限于本人水平所限，肯定还有没考虑到的地方，欢迎大家展开讨论。如果大家需要上面的源代码，请和我联系。