具有缓冲区溢出的代码示例（获取方法）。为什么它的行为不符合预期？

Question

这是来自 ac 程序的摘录，应该演示缓冲区溢出。

void foo()
{
  char arr[8];
  printf(" enter bla bla bla");
  gets(arr);
  printf(" you entered %s\n", arr);
}

问题是“用户最多可以输入多少个输入字符而不会造成缓冲区溢出”，

我最初的答案是 8，因为字符数组的长度是 8 个字节。 虽然我很确定我的答案是正确的，但我尝试了更多的字符，发现在出现分段错误之前我可以输入的字符限制是 11。（我在 VirtualBox Ubuntu 上运行这个）

所以我的问题是：为什么可以在 8 字节数组中输入 11 个字符？

Answer 1

您的字符实际上超出了定义的数组的范围，导致未定义的结果。在覆盖一些正在用于其他用途的内存之前，您不会看到效果。

语言和运行时没有采取任何措施来防止缓冲区溢出，这正是这些错误如此严重且有时难以追踪的原因。

由于这些原因，像 gets 这样的函数已被弃用，转而使用更安全的函数（在本例中为 getline），这些函数询问将存储数据的数组的长度。

请参阅：http://crasseux.com/books/ctutorial/gets.html

另外，您只能可靠地存储 7 个字符，因为您需要第 8 个字符作为空终止符。

Answer 2

可能是因为对齐和/或填充。那里可能有一些“备用”内存，实际上并未使用，因此当您覆盖它时，不会造成任何破坏。这并不意味着它是正确的或有效的，只是对于您来说，在使用该编译器、椅子、头发颜色等的机器上它现在不会失败。

Answer 3

（我在 VirtualBox 上运行这个
Ubuntu）所以我的问题是：为什么会这样
可以在 8 个字符中输入 11 个字符
字节数组？

11+1 表示零终止 = 12 个字符。当 gets() 将 13 个字符写入 arr[8] 时，会发生 IOW 崩溃。

您还没有发布精确的堆栈跟踪，但根据我的经验，它应该在 foo() 返回后崩溃。

堆栈帧（使用 for void foo() + gets()）看起来像 (*):

• gets() 局部变量
• 在 gets() 调用时保存的堆栈指针（所谓的“序言”）
• 返回地址，指向 foo()
• foo() 局部变量（您的 char arr[8]）
• 此时保存的堆栈指针gets() 调用的
• 返回地址，指向 foo() 的调用者
• <更高内存地址>

从所有信息中，最重要的位是返回地址和保存的堆栈指针。在您的情况下写入第 13 个字节可能已损坏 foo() 函数保存的堆栈指针。以下 printf() 的调用很可能会成功，因为堆栈指针仍然有效（最后通过从 gets() 返回来更改）。但是从 foo() 返回将导致 foo() 保存的堆栈指针（现已损坏）被恢复，然后从调用函数内部访问堆栈的任何操作都将转到错误地址。

根据我的经验，这是最有可能的情况。当堆栈损坏时，很难确定会发生什么。

(*) 有关如何构建堆栈帧的准确详细信息，请查找适用于您的架构的 ABI（应用程序二进制接口）：例如适用于 Intel i386 的 IA-32 ABI 或适用于 AMD64 的 AMD64 ABI。

Answer 4

只是碰巧有足够的可用内存来存储额外的数据。您永远不应该依赖它并始终将数据保留在数组的范围内。

您的示例中实际允许的字符数是 7 个“标准”字符加上 NULL 字符（总共 8 个）。

Answer 5

在 C 中，没有什么可以阻止你越过数组的末尾。当您将字符串放入内存时，它将填充您的数组，然后继续填充内存，直到有东西真正阻止它为止。在较大的程序中，这可能意味着覆盖内存中的其他变量，从而导致很难追踪的错误。另外，在确定内存位置适合多大的字符串时，您可能需要考虑 C 如何找到字符串的结尾。