เหตุใด printf ที่มีอาร์กิวเมนต์เดียว (ไม่มีตัวระบุการแปลง) จึงเลิกใช้งาน

ในหนังสือที่ฉันกำลังอ่านมีเขียนว่าprintfด้วยอาร์กิวเมนต์เดียว (โดยไม่มีตัวระบุการแปลง) จะเลิกใช้งานแล้ว ขอแนะนำให้เปลี่ยน

printf("Hello World!");

ด้วย

puts("Hello World!");

หรือ

printf("%s", "Hello World!");

ใครช่วยบอกทีว่าทำไมถึงprintf("Hello World!");ผิด? มีเขียนไว้ในหนังสือว่ามีช่องโหว่ ช่องโหว่เหล่านี้คืออะไร?

printf("Hello World!"); IMHO ไม่เสี่ยง แต่ให้พิจารณาสิ่งนี้:

const char *str;
...
printf(str);

หากstrเกิดขึ้นเพื่อชี้ไปที่สตริงที่มีตัว%sระบุรูปแบบโปรแกรมของคุณจะแสดงพฤติกรรมที่ไม่ได้กำหนดไว้ (ส่วนใหญ่เป็นข้อขัดข้อง) ในขณะที่puts(str)จะแสดงสตริงตามที่เป็นอยู่

ตัวอย่าง:

printf("%s");   //undefined behaviour (mostly crash)
puts("%s");     // displays "%s\n"

printf("Hello world");

ใช้ได้ดีและไม่มีช่องโหว่ด้านความปลอดภัย

ปัญหาอยู่ที่:

printf(p);

ที่pเป็นตัวชี้การป้อนข้อมูลที่ถูกควบคุมโดยผู้ใช้ มีแนวโน้มที่จะจัด รูปแบบการโจมตีสตริง : ผู้ใช้สามารถแทรกข้อกำหนดการแปลงเพื่อควบคุมโปรแกรมเช่น%xการถ่ายโอนข้อมูลหน่วยความจำหรือ%nเพื่อเขียนทับหน่วยความจำ

โปรดทราบว่าputs("Hello world")จะไม่เทียบเท่าในพฤติกรรมการแต่printf("Hello world") คอมไพเลอร์มักจะฉลาดพอที่จะเพิ่มประสิทธิภาพการโทรหลังที่จะแทนที่ด้วยprintf("Hello world\n")puts

นอกจากคำตอบอื่น ๆprintf("Hello world! I am 50% happy today")ยังเป็นข้อผิดพลาดที่ทำได้ง่ายซึ่งอาจทำให้เกิดปัญหาหน่วยความจำที่น่ารังเกียจได้ทุกรูปแบบ (มันคือ UB!)

มันเป็นเพียงง่ายขึ้นง่ายขึ้นและมีประสิทธิภาพมากขึ้นเพื่อ "ต้องการ" การเขียนโปรแกรมเพื่อเป็นอย่างชัดเจนเมื่อพวกเขาต้องการสตริงคำต่อคำและไม่มีอะไรอื่น

และนั่นคือสิ่งที่printf("%s", "Hello world! I am 50% happy today")ทำให้คุณได้รับ มันเข้าใจผิดทั้งหมด

(แน่นอนว่าสตีฟprintf("He has %d cherries\n", ncherries)ไม่ใช่สิ่งเดียวกันอย่างแน่นอนในกรณีนี้โปรแกรมเมอร์ไม่ได้อยู่ในกรอบความคิด "สตริงคำต่อคำ" เธออยู่ในกรอบความคิด "สตริงรูปแบบ")

ฉันจะเพิ่มข้อมูลเล็กน้อยเกี่ยวกับส่วนช่องโหว่ที่นี่

มีการกล่าวกันว่ามีช่องโหว่เนื่องจากช่องโหว่ของรูปแบบสตริง printf ในตัวอย่างของคุณที่สตริงเป็นฮาร์ดโค้ดจะไม่เป็นอันตราย (แม้ว่าจะไม่แนะนำให้ใช้สตริงฮาร์ดโค้ดเช่นนี้ก็ตาม) แต่การระบุประเภทของพารามิเตอร์เป็นนิสัยที่ดีที่ควรปฏิบัติ ใช้ตัวอย่างนี้:

หากมีคนใส่อักขระสตริงรูปแบบใน printf ของคุณแทนที่จะเป็นสตริงปกติ (เช่นถ้าคุณต้องการพิมพ์ stdin ของโปรแกรม) printf จะใช้ทุกอย่างที่ทำได้บนสแต็ก

มันเป็น (และยังคง) ใช้อย่างมากในการใช้ประโยชน์จากโปรแกรมในการสำรวจสแต็กเพื่อเข้าถึงข้อมูลที่ซ่อนอยู่หรือข้ามการพิสูจน์ตัวตนเป็นต้น

ตัวอย่าง (C):

int main(int argc, char *argv[])
{
    printf(argv[argc - 1]); // takes the first argument if it exists
}

ถ้าฉันใส่เป็นอินพุตของโปรแกรมนี้ "%08x %08x %08x %08x %08x\n"

printf ("%08x %08x %08x %08x %08x\n"); 

คำสั่งนี้สั่งให้ฟังก์ชัน printf ดึงพารามิเตอร์ห้าตัวจากสแต็กและแสดงเป็นตัวเลขฐานสิบหกที่มีเบาะ 8 หลัก ดังนั้นผลลัพธ์ที่เป็นไปได้อาจมีลักษณะดังนี้:

40012980 080628c4 bffff7a4 00000005 08059c04

ดูนี้สำหรับคำอธิบายที่สมบูรณ์มากขึ้นและตัวอย่างอื่น ๆ

การโทรprintfด้วยสตริงรูปแบบตามตัวอักษรนั้นปลอดภัยและมีประสิทธิภาพและมีเครื่องมือที่จะเตือนคุณโดยอัตโนมัติหากการเรียกprintfใช้สตริงรูปแบบที่ผู้ใช้ระบุนั้นไม่ปลอดภัย

การโจมตีที่รุนแรงที่สุดในการprintfใช้ประโยชน์จากตัว%nระบุรูปแบบ ในทางตรงกันข้ามกับทุก specifiers รูปแบบอื่น ๆ เช่น%d, %nจริงเขียนมูลค่าให้กับหน่วยความจำที่อยู่ที่ให้ไว้ในหนึ่งของการขัดแย้งรูปแบบ ซึ่งหมายความว่าผู้โจมตีสามารถเขียนทับหน่วยความจำและอาจเข้าควบคุมโปรแกรมของคุณได้ Wikipedia ให้รายละเอียดเพิ่มเติม

หากคุณโทรprintfด้วยสตริงรูปแบบตามตัวอักษรผู้โจมตีจะไม่สามารถแอบ%nเข้าไปในสตริงรูปแบบของคุณได้และคุณจะปลอดภัย ในความเป็นจริง gcc จะเปลี่ยนการโทรของคุณprintfเป็นการโทรไปputsดังนั้นจึงไม่มีความแตกต่างใด ๆ (ทดสอบโดยการเรียกใช้gcc -O3 -S)

หากคุณโทรprintfด้วยสตริงรูปแบบที่ผู้ใช้ระบุไว้ผู้โจมตีอาจแอบ%nเข้าไปในสตริงรูปแบบของคุณและเข้าควบคุมโปรแกรมของคุณ -Wformat-securityคอมไพเลอร์ของคุณมักจะเตือนคุณว่าเขาจะไม่ปลอดภัยให้ดู นอกจากนี้ยังมีเครื่องมือที่ทันสมัยมากขึ้นว่าให้มั่นใจว่าการภาวนาของความปลอดภัยแม้จะมีผู้ใช้บริการที่มีให้สตริงรูปแบบและพวกเขาก็อาจจะตรวจสอบว่าคุณผ่านจำนวนที่เหมาะสมและประเภทของข้อโต้แย้งprintf printfตัวอย่างเช่นสำหรับ Java มีข้อผิดพลาดของ Google คว่ำ และตรวจสอบกรอบ

นี่เป็นคำแนะนำที่เข้าใจผิด ใช่ถ้าคุณมีสตริงรันไทม์ที่จะพิมพ์

printf(str);

ค่อนข้างอันตรายและคุณควรใช้เสมอ

printf("%s", str);

แทนเพราะโดยทั่วไปคุณไม่มีทางรู้ได้ว่าstrอาจมี%เครื่องหมายหรือไม่ อย่างไรก็ตามหากคุณมีสตริงค่าคงที่ของเวลาคอมไพล์ก็ไม่มีอะไรผิดปกติ

printf("Hello, world!\n");

(เหนือสิ่งอื่นใดนั่นคือโปรแกรม C ที่คลาสสิกที่สุดเท่าที่เคยมีมาจากหนังสือการเขียนโปรแกรม C ของ Genesis ดังนั้นใครก็ตามที่ปฏิเสธการใช้งานนั้นจะค่อนข้างนอกคอกและฉันสำหรับคนหนึ่งจะค่อนข้างขุ่นเคือง!)

แง่มุมที่ค่อนข้างน่ารังเกียจprintfคือแม้แต่บนแพลตฟอร์มที่หน่วยความจำหลงทางอ่านอาจทำให้เกิดความเสียหายที่ จำกัด (และยอมรับได้) ซึ่งเป็นหนึ่งในอักขระการจัดรูปแบบ%nทำให้อาร์กิวเมนต์ถัดไปถูกตีความเป็นตัวชี้ไปยังจำนวนเต็มที่เขียนได้และทำให้เกิด จำนวนเอาต์พุตอักขระจนถึงตอนนี้ที่จะเก็บไว้ในตัวแปรที่ระบุไว้ ฉันไม่เคยใช้คุณสมบัตินั้นด้วยตัวเองและบางครั้งฉันก็ใช้วิธีการพิมพ์แบบ printf ที่มีน้ำหนักเบาซึ่งฉันได้เขียนขึ้นเพื่อรวมเฉพาะคุณสมบัติที่ฉันใช้จริง (และไม่รวมคุณสมบัตินั้นหรือสิ่งที่คล้ายกัน) แต่การป้อนสตริงฟังก์ชัน printf มาตรฐานที่ได้รับ จากแหล่งที่ไม่น่าไว้วางใจอาจทำให้ช่องโหว่ด้านความปลอดภัยเกินความสามารถในการอ่านที่จัดเก็บโดยพลการ

เนื่องจากไม่มีใครพูดถึงฉันจึงเพิ่มหมายเหตุเกี่ยวกับการแสดงของพวกเขา

ภายใต้สถานการณ์ปกติโดยสมมติว่าไม่มีการใช้การเพิ่มประสิทธิภาพคอมไพเลอร์ (เช่นprintf()เรียกจริงprintf()ไม่ใช่fputs()) ฉันคาดว่าprintf()จะทำงานได้อย่างมีประสิทธิภาพน้อยลงโดยเฉพาะอย่างยิ่งสำหรับสตริงที่ยาว เนื่องจากprintf()ต้องแยกวิเคราะห์สตริงเพื่อตรวจสอบว่ามีตัวระบุการแปลงหรือไม่

เพื่อยืนยันสิ่งนี้ฉันได้ทำการทดสอบบางอย่าง การทดสอบดำเนินการบน Ubuntu 14.04 พร้อม gcc 4.8.4 เครื่องของฉันใช้ซีพียู Intel i5 โปรแกรมที่กำลังทดสอบมีดังนี้:

#include <stdio.h>
int main() {
    int count = 10000000;
    while(count--) {
        // either
        printf("qwertyuiopasdfghjklzxcvbnmQWERTYUIOPASDFGHJKLZXCVBNM");
        // or
        fputs("qwertyuiopasdfghjklzxcvbnmQWERTYUIOPASDFGHJKLZXCVBNM", stdout);
    }
    fflush(stdout);
    return 0;
}

ทั้งสองรวบรวมด้วยgcc -Wall -O0. เวลาวัดโดยใช้time ./a.out > /dev/null. ต่อไปนี้เป็นผลลัพธ์ของการวิ่งโดยทั่วไป (ฉันเรียกใช้ห้าครั้งผลลัพธ์ทั้งหมดอยู่ภายใน 0.002 วินาที)

สำหรับprintf()ตัวแปร:

real    0m0.416s
user    0m0.384s
sys     0m0.033s

สำหรับfputs()ตัวแปร:

real    0m0.297s
user    0m0.265s
sys     0m0.032s

เอฟเฟกต์นี้จะถูกขยายหากคุณมีสตริงที่ยาวมาก

#include <stdio.h>
#define STR "qwertyuiopasdfghjklzxcvbnmQWERTYUIOPASDFGHJKLZXCVBNM"
#define STR2 STR STR
#define STR4 STR2 STR2
#define STR8 STR4 STR4
#define STR16 STR8 STR8
#define STR32 STR16 STR16
#define STR64 STR32 STR32
#define STR128 STR64 STR64
#define STR256 STR128 STR128
#define STR512 STR256 STR256
#define STR1024 STR512 STR512
int main() {
    int count = 10000000;
    while(count--) {
        // either
        printf(STR1024);
        // or
        fputs(STR1024, stdout);
    }
    fflush(stdout);
    return 0;
}

สำหรับprintf()ตัวแปร (วิ่งสามครั้งบวกจริง / ลบ 1.5 วินาที):

real    0m39.259s
user    0m34.445s
sys     0m4.839s

สำหรับfputs()ตัวแปร (วิ่งสามครั้งบวกจริง / ลบ 0.2 วินาที):

real    0m12.726s
user    0m8.152s
sys     0m4.581s

หมายเหตุ:หลังจากการตรวจสอบที่เกิดการชุมนุมโดย GCC ฉันตระหนัก GCC ที่เพิ่มประสิทธิภาพfputs()การโทรไปยังโทรแม้จะมีfwrite() -O0(การprintf()เรียกยังคงไม่เปลี่ยนแปลง) ฉันไม่แน่ใจว่าสิ่งนี้จะทำให้การทดสอบของฉันเป็นโมฆะหรือไม่เนื่องจากคอมไพลเลอร์คำนวณความยาวสตริงสำหรับfwrite()เวลาคอมไพล์

printf("Hello World\n")

คอมไพล์โดยอัตโนมัติให้เทียบเท่า

puts("Hello World")

คุณสามารถตรวจสอบได้ด้วยการแยกไฟล์ปฏิบัติการของคุณ:

push rbp
mov rbp,rsp
mov edi,str.Helloworld!
call dword imp.puts
mov eax,0x0
pop rbp
ret

โดยใช้

char *variable;
... 
printf(variable)

จะนำไปสู่ปัญหาด้านความปลอดภัยอย่าใช้ printf แบบนั้นเป็นอันขาด!

ดังนั้นหนังสือของคุณจึงถูกต้องจริงการใช้ printf กับตัวแปรเดียวจึงเลิกใช้งาน แต่คุณยังสามารถใช้ printf ("my string \ n") ได้เนื่องจากหนังสือจะกลายเป็น

สำหรับ gcc คุณสามารถเปิดใช้คำเตือนเฉพาะสำหรับการตรวจสอบprintf()และscanf()และ

เอกสาร gcc ระบุ:

-Wformatรวมอยู่ใน-Wall. สำหรับการควบคุมที่มากกว่าบางแง่มุมของรูปแบบการตรวจสอบตัวเลือก-Wformat-y2k, -Wno-format-extra-args, -Wno-format-zero-length, -Wformat-nonliteral, -Wformat-securityและ-Wformat=2มี -Wallแต่จะไม่รวมอยู่ใน

-Wformatซึ่งถูกเปิดใช้งานใน-Wallตัวเลือกที่ไม่เปิดใช้งานคำเตือนพิเศษหลายอย่างที่ช่วยในการค้นหากรณีเหล่านี้:

• -Wformat-nonliteral จะเตือนหากคุณไม่ส่งสตริง litteral เป็นตัวระบุรูปแบบ
• -Wformat-securityจะเตือนหากคุณส่งสตริงที่อาจมีโครงสร้างที่เป็นอันตราย -Wformat-nonliteralมันเป็นส่วนหนึ่งของ

ฉันต้องยอมรับว่าการเปิดใช้งานได้-Wformat-securityเปิดเผยจุดบกพร่องหลายอย่างที่เรามีใน codebase ของเรา (โมดูลการบันทึกโมดูลการจัดการข้อผิดพลาดโมดูลเอาต์พุต xml ทั้งหมดมีฟังก์ชันบางอย่างที่สามารถทำสิ่งที่ไม่ได้กำหนดได้หากมีการเรียกด้วยอักขระ% ในพารามิเตอร์สำหรับข้อมูล ตอนนี้ codebase ของเรามีอายุประมาณ 20 ปีและแม้ว่าเราจะทราบถึงปัญหาเหล่านี้ แต่เราก็รู้สึกประหลาดใจอย่างมากเมื่อเราเปิดใช้งานคำเตือนว่ามีบั๊กเหล่านี้กี่ข้อที่ยังอยู่ใน codebase)

นอกเหนือจากคำตอบที่อธิบายอย่างดีพร้อมข้อกังวลด้านใด ๆ แล้วฉันต้องการให้คำตอบที่ชัดเจนและกระชับสำหรับคำถามที่ให้มา

เหตุใดprintfด้วยอาร์กิวเมนต์เดียว (ไม่มีตัวระบุการแปลง) จึงเลิกใช้งาน

การprintfเรียกใช้ฟังก์ชันที่มีอาร์กิวเมนต์เดียวโดยทั่วไปจะไม่เลิกใช้งานและยังไม่มีช่องโหว่เมื่อใช้อย่างถูกต้องเนื่องจากคุณจะต้องเขียนโค้ดเสมอ

C ผู้ใช้ทั่วโลกตั้งแต่ผู้เริ่มต้นสถานะไปจนถึงผู้เชี่ยวชาญด้านสถานะใช้printfวิธีนั้นเพื่อให้วลีข้อความธรรมดาเป็นเอาต์พุตไปยังคอนโซล

นอกจากนี้บางคนต้องแยกแยะว่าอาร์กิวเมนต์เดียวนี้เป็นสตริงลิเทอรัลหรือตัวชี้ไปยังสตริงซึ่งใช้ได้ แต่มักไม่ใช้ แน่นอนว่าอาจเกิดผลลัพธ์ที่ไม่สะดวกหรือพฤติกรรมที่ไม่ได้กำหนดประเภทใด ๆเมื่อตั้งค่าตัวชี้ไม่ถูกต้องเพื่อชี้ไปยังสตริงที่ถูกต้อง แต่สิ่งเหล่านี้อาจเกิดขึ้นได้หากตัวระบุรูปแบบไม่ตรงกับอาร์กิวเมนต์ที่เกี่ยวข้องโดยการให้ หลายอาร์กิวเมนต์

แน่นอนว่ามันไม่ถูกต้องและเหมาะสมที่สตริงซึ่งจัดให้เป็นอาร์กิวเมนต์เดียวเท่านั้นจะมีรูปแบบหรือตัวระบุการแปลงใด ๆ เนื่องจากจะไม่มีการแปลงเกิดขึ้น

ที่กล่าวว่าให้สตริงที่เรียบง่ายเหมือน"Hello World!"อาร์กิวเมนต์เดียวโดยไม่มีตัวระบุรูปแบบใด ๆ ภายในสตริงนั้นเหมือนที่คุณระบุไว้ในคำถาม:

printf("Hello World!");

จะไม่เลิกหรือ " การปฏิบัติที่ไม่ดี " ที่ทุกคนมิได้มีช่องโหว่ใด ๆ

ในความเป็นจริงโปรแกรมเมอร์ C หลายคนเริ่มต้นและเริ่มเรียนรู้และใช้ภาษา C หรือแม้แต่ภาษาโปรแกรมโดยทั่วไปด้วยโปรแกรม HelloWorld และprintfคำสั่งนี้เป็นคำพูดแรกของมัน

พวกเขาจะไม่เป็นเช่นนั้นหากเลิกใช้งาน

ในหนังสือที่ฉันกำลังอ่านมีเขียนว่าprintfด้วยอาร์กิวเมนต์เดียว (โดยไม่มีตัวระบุการแปลง) จะเลิกใช้งานแล้ว

ถ้าอย่างนั้นฉันจะโฟกัสไปที่หนังสือหรือผู้เขียนเอง หากผู้เขียนทำเช่นนั้นจริงๆในความคิดของฉันการยืนยันที่ไม่ถูกต้องและแม้กระทั่งการสอนสิ่งนั้นโดยไม่ต้องอธิบายอย่างชัดเจนว่าทำไมเขา / เธอจึงทำเช่นนั้น (หากคำยืนยันเหล่านั้นเทียบเท่าตามตัวอักษรที่ระบุไว้ในหนังสือเล่มนั้นจริงๆ) ฉันจะถือว่าเป็นหนังสือที่ไม่ดี ดีหนังสือเมื่อเทียบกับการที่จะอธิบายว่าทำไมเพื่อหลีกเลี่ยงบางชนิดของวิธีการเขียนโปรแกรมหรือฟังก์ชั่น

ตามที่ผมกล่าวไว้ข้างต้นโดยใช้ printfมีเพียงหนึ่งอาร์กิวเมนต์ (ตัวอักษรสตริง) และโดยไม่ต้อง specifiers รูปแบบใด ๆ ไม่ว่าในกรณีใดเลิกใช้หรือถือว่าเป็น"การปฏิบัติที่ไม่ดี"

คุณควรถามผู้เขียนว่าเขาหมายถึงอะไรกับสิ่งนั้นหรือดีกว่านั้นให้บอกให้เขาชี้แจงหรือแก้ไขส่วนที่เกี่ยวข้องสำหรับฉบับหน้าหรือสำนักพิมพ์โดยทั่วไป