C 标准库中的哪些函数通常会鼓励不良做法？

Question

Closed. This question needs to be more focused. It is not currently accepting answers.

---

想要改进这个问题？通过编辑这篇文章来更新问题，使其仅关注一个问题。

6 年前已关闭。

Answer 1

哪些 C 标准库函数的使用不当/可能导致安全问题/代码缺陷/效率低下？

我要说的是显而易见的：

char *gets(char *s);

由于其显着的特殊性，根本不可能正确地使用它。

Answer 2

strtok() 函数的一个常见陷阱是假设解析的字符串保持不变，而实际上它用 '\0' 替换了分隔符。

此外，通过对 strtok() 进行后续调用来使用 strtok()，直到整个字符串被标记化。一些库实现将 strtok() 的内部状态存储在全局变量中，如果同时从多个线程调用 strtok() ，这可能会引发一些令人讨厌的意外。

CERT C 安全编码标准列出您问过的许多陷阱。

Answer 3

在几乎所有情况下，不应使用 atoi()（这也适用于 atof()、atol() 和 atoll ())。

这是因为这些函数根本不检测超出范围的错误 - 标准只是简单地说“如果结果的值无法表示，则行为未定义。”。因此，唯一可以安全使用它们的时候是，如果您可以证明输入肯定在范围内（例如，如果您将长度为 4 或更少的字符串传递给 atoi()，它不能超出范围）。

相反，请使用 strtol() 系列函数之一。

Answer 4

让我们将问题扩展到更广泛意义上的接口。

errno：

从技术上讲，甚至不清楚它是什么，变量，宏，隐式函数调用？在现代系统的实践中，它主要是一个转换为函数调用以具有线程特定错误状态的宏。这是邪恶的：

• 因为它可能会导致开销
  调用者访问该值，检查“错误”（这可能只是一个异常事件），
• 因为它甚至在某些地方强制调用者在进行库调用之前清除此“变量”，
• 因为它实现了一个简单的错误
  通过设置库的全局状态返回。

即将推出的标准使 errno 的定义更加直接，但这些丑陋之处仍然存在

Answer 5

经常有一个strtok_r。

对于realloc来说，如果需要使用旧的指针，那么使用另一个变量也不是那么难。如果您的程序因分配错误而失败，那么清理旧指针通常并不是真正必要的。

Answer 6

我会把 printf 和 scanf 放在这个列表中相当靠前的位置。事实上，您必须使格式说明符完全正确，这使得这些函数使用起来很棘手并且非常容易出错。读取数据时也很难避免缓冲区溢出。此外，当善意的程序员将客户端指定的字符串指定为 printf 的第一个参数时，“printf 格式字符串漏洞”可能会导致无数的安全漏洞，但多年后却发现堆栈被破坏，安全性受到损害。

Answer 7

任何操作全局状态的函数，例如 gmtime() 或 localtime()。这些函数根本无法在多线程中安全地使用。

编辑： rand() 与看起来的类别相同。至少无法保证线程安全，并且在我的 Linux 系统上，手册页警告说它是不可重入且非线程安全的。

Answer 8

我最讨厌的事情之一是 strtok()，因为它是不可重入的，因为它将正在处理的字符串分成几部分，在它隔离的每个标记的末尾插入 NUL。这样做的问题很多；令人痛苦的是，它经常被吹捧为问题的解决方案，但它本身往往也是一个问题。并非总是如此 - 它可以安全使用。但前提是你要小心。大多数函数也是如此，但 gets() 是一个明显的例外，它不能安全使用。

Answer 9

关于 realloc 已经有一个答案，但我对此有不同的看法。很多时候，我看到人们在表示free时写成realloc； malloc - 换句话说，当它们的缓冲区充满垃圾时，需要在存储新数据之前更改大小。这当然会导致潜在的大量、缓存混乱的 memcpy 垃圾即将被覆盖。

如果正确地与不断增长的数据一起使用（以避免将对象增长到大小n的最坏情况O(n^2)性能的方式，即以几何方式增长缓冲区当你用完空间时呈线性增长），realloc 比简单地执行自己的新 malloc、memcpy 和 free 具有令人怀疑的好处循环。 realloc 可以避免在内部执行此操作的唯一方法是当您使用堆顶部的单个对象时。

如果您喜欢使用calloc对新对象进行零填充，很容易忘记realloc不会对新部分进行零填充。

最后，realloc 的一个更常见的用途是分配超出您需要的对象，然后将分配的对象大小调整为所需的大小。但这实际上对于按大小严格隔离块的实现来说可能是有害的（额外的分配和memcpy），并且在其他情况下可能会增加碎片（通过分割大的空闲块的一部分来存储新的小块）对象，而不是使用现有的小空闲块）。

我不确定我是否会说 realloc 鼓励不好的做法，但这是一个我会留意的函数。

Answer 10

一般来说，malloc 系列怎么样？我见过的绝大多数大型、长期存在的程序都在各处使用动态内存分配，就好像它是免费的一样。当然，实时开发人员知道这是一个神话，不小心使用动态分配可能会导致灾难性的内存使用量激增和/或地址空间碎片直至内存耗尽。

在一些没有机器级指针的高级语言中，动态分配还不错，因为实现可以在程序的生命周期内移动对象并整理内存碎片，只要它可以保持对这些对象的引用最新。非传统的 C 实现也可以做到这一点，但计算出细节并不简单，它会在所有指针取消引用中产生非常大的成本，并使指针变得相当大，因此出于实际目的，这在 C 中是不可能的

。怀疑是，正确的解决方案通常是长期存在的程序像往常一样使用 malloc 执行小型例程分配，但以可以重构和使用的形式保留大型长期数据结构。定期更换以对抗碎片，或者作为包含许多结构的大型 malloc 块，这些结构构成应用程序中的单个大数据单元（如浏览器中的整个网页呈现），或者 on-具有固定大小内存缓存或内存映射文件的磁盘。

Answer 11

从完全不同的角度来看，当存在 atan2() 时，我从未真正理解 atan() 的好处。不同之处在于 atan2() 接受两个参数，并返回 -π..+π 范围内任意位置的角度。此外，它还避免了除以零错误和精度损失错误（将非常小的数字除以非常大的数字，反之亦然）。相比之下，atan() 函数仅返回 -π/2..+π/2 范围内的值，并且您必须事先进行除法（我不记得有这样的情况） atan() 可以在没有除法的情况下使用，而不是简单地生成反正切表。当给定一个简单值时，提供 1.0 作为 atan2() 的除数并不会突破极限。

Answer 12

另一个答案，因为这些并没有真正相关，rand：

• 它具有未指定的随机质量，
• 它不是可重入的

Answer 13

其中一些函数正在修改某些全局状态。 （在 Windows 中）此状态是每个线程共享的 - 您可能会得到意想不到的结果。例如，每个线程中第一次调用 rand 都会给出相同的结果，并且需要小心使其成为伪随机的，但具有确定性（用于调试目的）。

Answer 14

basename() 和 dirname() 不是线程安全的。