CERT C: FIO40-C правил

Сброс строк при сбое fgets () или fgetws ()

развернуть все на странице

Описание

Определение правила

Сброс строк при ^сбое fgets () или fgetws (). [1]

Внедрение Polyspace

Эта проверка проверяет использование неопределенной строки.

Примеры

развернуть все

Использование неопределенной строки

Проблема

Использование неопределенной строки происходит, когда не проверяется действительность буфера, возвращенного из fgets- функции семьи. Средство проверки вызывает дефект, когда используется такой буфер, как:

Аргумент в стандартных функциях, которые печатают или управляют строками или широкими строками.
Возвращаемое значение.
Аргумент во внешних функциях с типом параметра const char * или const wchar_t *.

Риск

Если fgetsФункция -family завершается неуспешно, содержимое ее выходного буфера неопределенно. Использование такого буфера имеет неопределенное поведение и может привести к прекращению работы программы или другим уязвимостям системы безопасности.

Зафиксировать

Сброс выходного буфера fgetsФункция -family получает известное строковое значение при сбое функции.

Пример - Вывод fgets() Передано внешней функции

#include <stdio.h>
#include <wchar.h>
#include <string.h>
#include <stdlib.h>

#define SIZE20 20

extern void display_text(const char *txt);

void func(void) {
    char buf[SIZE20];
	
	/* Check fgets() error */
    if (fgets (buf, sizeof (buf), stdin) == NULL)
    {
        /* 'buf' may contain an indeterminate string.  */
        ;
    }
	/* 'buf passed to external function */
    display_text(buf); 
}

В этом примере выходные данные buf передается внешней функции display_text(), но его значение не сбрасывается, если fgets() не удается.

Коррекция - сброс fgets() Вывод при сбое

Если fgets() сбой, сброс buf до известного значения, прежде чем передать его внешней функции.

#include <stdio.h>
#include <wchar.h>
#include <string.h>
#include <stdlib.h>

#define SIZE20 20

extern void display_text(const char *txt);

void func1(void) {
    char buf[SIZE20];
	/* Check fgets() error */
    if (fgets (buf, sizeof (buf), stdin) == NULL)
    {
		/* value of 'buf' reset after fgets() failure. */
        buf[0] = '\0';
    }
	/* 'buf' passed to external function */
    display_text(buf); 
}

Проверить информацию

Группа: Правило 09. Входной выход (FIO)

См. также

Check SEI CERT-C (-cert-c)

Темы

Проверка нарушений стандартов кодирования

Внешние веб-сайты

FIO40-C

Представлен в R2019a

^[1] Данное программное обеспечение было создано компанией MathWorks и включает в себя следующие компоненты: «Веб-сайт SEI CERT-C», © 2017 Университет Карнеги-Меллон, веб-сайт SEI CERT-C + + © 2017 Университет Карнеги-Меллон, "Стандарт кодирования SEI CERT C - Правила разработки безопасных, Надежные и безопасные системы - 2016 Edition ", © 2016 Университет Карнеги-Меллон, и "Стандарт кодирования SEI CERT C++ - Правила разработки безопасных, Надежные и безопасные системы в C++ - 2016 Edition "© 2016 Университет Карнеги-Меллон, со специальным разрешением от его Института программного обеспечения.

ЛЮБОЙ МАТЕРИАЛ УНИВЕРСИТЕТА КАРНЕГИ МЕЛЛОНА И/ИЛИ ЕГО ПРОГРАММНОГО ИНЖЕНЕРНОГО ИНСТИТУТА, СОДЕРЖАЩИЙСЯ В НАСТОЯЩЕМ ДОКУМЕНТЕ, ПОСТАВЛЯЕТСЯ КАК ЕСТЬ. УНИВЕРСИТЕТ КАРНЕГИ МЕЛЛОН НЕ ДАЕТ НИКАКИХ ГАРАНТИЙ, ВЫРАЖЕННЫХ ИЛИ ПОДРАЗУМЕВАЕМЫХ, В ОТНОШЕНИИ ЛЮБЫХ ВОПРОСОВ, ВКЛЮЧАЯ, НО НЕ ОГРАНИЧИВАЯСЬ, ГАРАНТИИ ПРИГОДНОСТИ ДЛЯ ЦЕЛЕЙ ИЛИ ТОВАРНОЙ ПРИГОДНОСТИ, ИСКЛЮЧИТЕЛЬНОСТИ ИЛИ РЕЗУЛЬТАТОВ, ПОЛУЧЕННЫХ ОТ ИСПОЛЬЗОВАНИЯ УНИВЕРСИТЕТ КАРНЕГИ МЕЛЛОН НЕ ДАЕТ НИКАКИХ ГАРАНТИЙ В ОТНОШЕНИИ СВОБОДЫ ОТ ПАТЕНТА, ТОВАРНОГО ЗНАКА ИЛИ НАРУШЕНИЯ АВТОРСКИХ ПРАВ.

Данное программное обеспечение и связанная с ним документация не были рассмотрены и не одобрены Университетом Карнеги-Меллона или его Институтом разработки программного обеспечения.

Документация