CERT C: Rule MSC33-C

Не передавайте недопустимые данные asctime () функция

расширьте все на странице

Описание

Управляйте определением

Не передавайте недопустимые данные asctime () функция. ^[1]

Примеры

развернуть все

Использование устаревшей стандартной функции

Описание

Использование устаревшей стандартной функции обнаруживает вызовы стандартных программ стандартной функции, которые рассматриваются наследием, удаленным, удержанным от использования или устаревшим стандартами кодирования C/C++.

Устаревшая функция	Стандарты	Риск	Заменяющая функция
`asctime`	Удержанный от использования в POSIX.1-2008	Не ориентированный на многопотоковое исполнение.	`strftime` или `asctime_s`
`asctime_r`	Удержанный от использования в POSIX.1-2008	Реализация на основе небезопасного функционального `sprintf`.	`strftime` или `asctime_s`
`bcmp`	Удержанный от использования в 4.3BSD Отмеченный как наследие в POSIX.1-2001.	Возвращается из функции после нахождения первого отличающегося байта, делая его уязвимым для атак временным анализом.	`memcmp`
`bcopy`	Удержанный от использования в 4.3BSD Отмеченный как наследие в POSIX.1-2001.	Возвращается из функции после нахождения первого отличающегося байта, делая его уязвимым для атак временным анализом.	`memcpy` или `memmove`
`brk` и `sbrk`	Отмеченный как наследие в SUSv2 и POSIX.1-2001.		`malloc`
`bsd_signal`	Удаленный в POSIX.1-2008		`sigaction`
`bzero`	Отмеченный как наследие в POSIX.1-2001. Удаленный в POSIX.1-2008.		`memset`
`ctime`	Удержанный от использования в POSIX.1-2008	Не ориентированный на многопотоковое исполнение.	`strftime` или `asctime_s`
`ctime_r`	Удержанный от использования в POSIX.1-2008	Реализация на основе небезопасного функционального `sprintf`.	`strftime` или `asctime_s`
`cuserid`	Удаленный в POSIX.1-2001.	Не повторно используемый. Точная функциональность не стандартизированные проблемы мобильности порождения.	`getpwuid`
`ecvt` и `fcvt`	Отмеченный как наследие в POSIX.1-2001. Удаленный в POSIX.1-2008	Не повторно используемый	`snprintf`
`ecvt_r` и `fcvt_r`	Отмеченный как наследие в POSIX.1-2001. Удаленный в POSIX.1-2008		`snprintf`
`ftime`	Удаленный в POSIX.1-2008		`time`, `gettimeofday`, `clock_gettime`
`gamma`, `gammaf`, `gammal`	Функция, не заданная в любом стандарте из-за исторических изменений	Проблемы мобильности.	`tgamma`, `lgamma`
`gcvt`	Отмеченный как наследие в POSIX.1-2001. Удаленный в POSIX.1-2008.		`snprintf`
`getcontext`	Удаленный в POSIX.1-2008.	Проблемы мобильности.	Используйте поток POSIX вместо этого.
`getdtablesize`	API-функция BSD, не включенная в POSIX.1-2001	Проблемы мобильности.	`sysconf( _SC_OPEN_MAX )`
`gethostbyaddr`	Удаленный в POSIX.1-2008	Не повторно используемый	`getaddrinfo`
`gethostbyname`	Удаленный в POSIX.1-2008	Не повторно используемый	`getnameinfo`
`getpagesize`	API-функция BSD, не включенная в POSIX.1-2001	Проблемы мобильности.	`sysconf( _SC_PAGESIZE )`
`getpass`	Удаленный в POSIX.1-2001.	Не повторно используемый.	`getpwuid`
`getw`	Не существующий в POSIX.1-2001.		`fread`
`getwd`	Отмеченное наследие в POSIX.1-2001. Удаленный в POSIX.1-2008.		`getcwd`
`index`	Отмеченный как наследие в POSIX.1-2001. Удаленный в POSIX.1-2008.		`strchr`
`makecontext`	Удаленный в POSIX.1-2008.	Проблемы мобильности.	Используйте поток POSIX вместо этого.
`memalign`	Появляется в SunOS 4.1.3. Не в 4.4 BSD или POSIX.1-2001		`posix_memalign`
`mktemp`	Удаленный в POSIX.1-2008.	Сгенерированные имена предсказуемы и могут вызвать состояние состязания.	`mkstemp` удаляет риск гонки
`pthread_attr_getstackaddr` и `pthread_attr_setstackaddr`		Неоднозначности в спецификации `stackaddr` припишите проблемы мобильности причины	`pthread_attr_getstack` и `pthread_attr_setstack`
`putw`	Не существующий в POSIX.1-2001.	Проблемы мобильности.	`fwrite`
`qecvt` и `qfcvt`	Отмеченный как наследие в POSIX.1-2001, удаленном в POSIX.1-2008		`snprintf`
`qecvt_r` и `qfcvt_r`	Отмеченный как наследие в POSIX.1-2001, удаленном в POSIX.1-2008		`snprintf`
`rand_r`	Отмеченный как устаревший в POSIX.1-2008
`re_comp`	API-функция BSD	Проблемы мобильности	`regcomp`
`re_exes`	API-функция BSD	Проблемы мобильности	`regexec`
`rindex`	Отмеченный как наследие в POSIX.1-2001. Удаленный в POSIX.1-2008.		`strrchr`
`scalb`	Удаленный в POSIX.1-2008		`scalbln`, `scalblnf`, или `scalblnl`
`sigblock`	4.3BSD сигнализируют о API, источник которого неясен		`sigprocmask`
`sigmask`	4.3BSD сигнализируют о API, источник которого неясен		`sigprocmask`
`sigsetmask`	4.3BSD сигнализируют о API, источник которого неясен		`sigprocmask`
`sigstack`	Интерфейс является устаревшим и не реализованный на большинстве платформ.	Проблемы мобильности.	`sigaltstack`
`sigvec`	4.3BSD сигнализируют о API, источник которого неясен		`sigaction`
`swapcontext`	Удаленный в POSIX.1-2008	Проблемы мобильности.	Используйте потоки POSIX.
`tmpnam` и `tmpnam_r`	Отмеченный как устаревший в POSIX.1-2008.	Эта функция генерирует различную строку каждый раз, когда она называется до времен TMP_MAX. Если это называется больше, чем времена TMP_MAX, поведение задано реализацией.	`mkstemp`, `tmpfile`
`ttyslot`	Удаленный в POSIX.1-2001.
`ualarm`	Отмеченный как наследие в POSIX.1-2001. Удаленный в POSIX.1-2008.	Ошибки под-заданным	`setitimer` или POSIX `timer_create`
`usleep`	Удаленный в POSIX.1-2008.		`nanosleep`
`utime`	SVr4, POSIX.1-2001. POSIX.1-2008 отмечает как устаревший.
`valloc`	Отмеченный как устаревший в 4.3BSD. Отмеченный как наследие в SUSv2. Удаленный из POSIX.1-2001		`posix_memalign`
`vfork`	Удаленный из POSIX.1-2008	Под-заданным в предыдущих стандартах.	`fork`
`wcswcs`	Эта функция не была включена в итоговый ISO/IEC 9899:1990/Amendment 1:1995 (E).		`wcsstr`
`WinExec`	WinAPI обеспечивает эту функцию только для 16-битной совместимости Windows.		`CreateProcess`
`LoadModule`	WinAPI обеспечивает эту функцию только для 16-битной совместимости Windows.		`CreateProcess`

Фиксация

Фиксация зависит от первопричины дефекта. Часто детали результата показывают последовательность событий, которые привели к дефекту. Можно реализовать закрепление на любом событии в последовательности. Если детали результата не показывают историю события, можно проследить использование, щелкните правой кнопкой по опциям по исходному коду и смотрите предыдущие связанные события. См. также Интерпретируют Результаты Polyspace Bug Finder.

Смотрите примеры мер ниже.

Если вы не хотите устранять проблему, добавьте комментарии в свой результат или код, чтобы избежать другого анализа. Смотрите Результаты Polyspace Адреса Через Исправления ошибок или Выравнивания.

Пример - распечатывание времени

#include <stdio.h>
#include <time.h> 

void timecheck_bad(int argc, char *argv[])
{
    time_t ticks; 

    ticks = time(NULL);
    printf("%.24s\r\n", ctime(&ticks));
}

В этом примере, функциональном ctime форматирует текущее время и распечатывает его. Однако ctime был удален после C99, потому что он не работает над многопоточными программами.

Коррекция — различная функция времени

Одна возможная коррекция должна использовать strftime вместо этого, потому что эта функция использует buffer size набора.

#include <stdio.h>
#include <string.h>
#include <time.h> 

void timecheck_good(int argc, char *argv[])
{
    char outBuff[1025];
    time_t ticks; 
    struct tm * timeinfo;
    
    memset(outBuff, 0, sizeof(outBuff)); 
    
    ticks = time(NULL);
    timeinfo = localtime(&ticks);
    strftime(outBuff,sizeof(outBuff),"%I:%M%p.",timeinfo);
    fprintf(stdout, outBuff);
}

Проверяйте информацию

Группа: правило 48. Разное (MSC)

Смотрите также

Check SEI CERT-C (-cert-c)

Темы

Проверяйте на кодирование стандартных нарушений

Внешние веб-сайты

MSC33-C

Введенный в R2019a

^[1] Это программное обеспечение было создано MathWorks, включающим фрагменты: “Веб-сайт SEI CERT-C”, © 2017 Carnegie Mellon University, веб-сайт SEI CERT-C © 2017 Carnegie Mellon University”, CERT SEI C Кодирование Стандарта – Правил для Разработки безопасных, Надежных и Защищенных систем – 2 016 Выпусков”, © 2016 Carnegie Mellon University, and “CERT SEI Стандарт Кодирования C++ – Правил для Разработки безопасных, Надежных и Защищенных систем на C++ – 2 016 Выпусков” © 2016 Carnegie Mellon University, со специальным разрешением от его Института программной инженерии.

ЛЮБОЙ МАТЕРИАЛ УНИВЕРСИТЕТА КАРНЕГИ-МЕЛЛОН И/ИЛИ ЕГО ИНСТИТУТА ПРОГРАММНОЙ ИНЖЕНЕРИИ СОДЕРЖАЛ, ЗДЕСЬ ПРЕДОСТАВЛЯЕТСЯ НА ОСНОВЕ "ASIS". УНИВЕРСИТЕТ КАРНЕГИ-МЕЛЛОН НЕ ДАЕТ ГАРАНТИЙ НИКАКОГО ВИДА, ИЛИ ВЫРАЗИЛ ИЛИ ПОДРАЗУМЕВАЛ, ОТНОСИТЕЛЬНО ЛЮБОГО ВОПРОСА ВКЛЮЧАЯ, НО НЕ ОГРАНИЧИЛ, ГАРАНТИЯ ПРИГОДНОСТИ ДЛЯ ЦЕЛИ ИЛИ ВЫСОКОГО СПРОСА, ИСКЛЮЧИТЕЛЬНОСТИ, ИЛИ ЗАКАНЧИВАЕТСЯ ПОЛУЧЕННЫЙ ИЗ ИСПОЛЬЗОВАНИЯ МАТЕРИАЛА. УНИВЕРСИТЕТ КАРНЕГИ-МЕЛЛОН НЕ ДАЕТ ГАРАНТИИ НИКАКОГО ВИДА ОТНОСИТЕЛЬНО СВОБОДЫ ОТ ПАТЕНТА, ТОВАРНОГО ЗНАКА ИЛИ НАРУШЕНИЯ АВТОРСКОГО ПРАВА.

Это программное обеспечение и сопоставленная документация не были рассмотрены, ни являются подтвержденным Университетом Карнеги-Меллон или его Институтом программной инженерии.

Документация

CERT C: Rule MSC33-C

Описание

Управляйте определением

Примеры

Использование устаревшей стандартной функции

Описание

Фиксация

Пример - распечатывание времени

Коррекция — различная функция времени

Проверяйте информацию

Смотрите также

Темы

Внешние веб-сайты

Введенный в R2019a

Документация Polyspace Bug Finder

Поддержка