嘿 那大家就来玩 flawfinder 吧 http://www.dwheeler.com/flawfinder 已经有 deb package 跟 bsd ports 只是...蛮笨的 我觉得 只会看一看 觉得有问题的函式就说一声 也没有看 control flow 所以有蛮多不会有事的警告 像 ptt source 跑下去 它丢了 1778 个 hints... ※ 引述《Freak1033 (Shirase Akira)》之铭言： : ※ 引述《pangfeng (Ikari Gendou)》之铭言： : : 你的见解完全正确. 因为我们还没教到fgets, 所以先用gets应付. : : 建议版主m起来. : 补充一点, : 其实scanf也有一样的问题, : 譬如说: : char buf[1024]; : scanf ("%s",buf); : 恶意攻击的人也可以把超过1024 bytes的资料送进scanf, : 那麽你的阵列就"暴走"了, : 所以通常在设计有特别安全需求的程式的时候我们会这样写: : scanf ("%1024s",buf); : 这样scanf就不会让buf吃撑了. --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 218.167.182.90