printf 和不安全的格式化字符串

Question

相关应用程序允许用户在纯文本配置文件中定义自己的消息（主要用于自定义和/或本地化目的），这些消息在运行时传递给 printf 样式函数。如果用户定义的格式化字符串有错误，可能会发生很多不好的事情。

清理此类用户输入的格式字符串的最佳方法是什么？或者我应该完全放弃这种方法并使用另一种方法来让用户安全地自定义消息？

解决方案必须以某种方式可移植（Windows、Linux、BSD、x86、x86-64）。

Answer 1

定义您自己的格式化语言，您的代码将其转换为有效的格式字符串，从而限制用户可能遇到的麻烦（例如，根本不允许使用％，并定义您自己的符号/标记来指示应该出现％在输出中）。

Answer 2

你有两个选择：

1. 让用户的混乱（有意或无意）仅自己搞乱，即不要让用户的个人配置相互干扰

2. 不要让用户自定义结果。或者，如果您这样做，请将定制设置得如此有限，以至于他们无法做任何有害的事情。
   例如，我经常做这样的事情：允许用户向诸如 printf() 之类的内容提供自己的输入，但过滤器只允许具有特定（非常有限）字符集的内容。例如，我将使用类似 ^[a-zA-Z0-9_]+$ 的正则表达式，并且不要让其他任何内容进入。

任何时候您提供定制，您都打开了大门问题。在这些地方小心行走。