当前位置：首页 > news >正文

更安全的C gets()和str* 以及fgets和strcspn的用法

news 2026/2/7 5:41:36

#include <stdio.h>int main()
{char *str;gets(str);puts(str);return(0);
}

可以说全是错误
首先char *str没有指向一个分配好的地址，就直接读入，危险

ps:
怎么理解char *str = "Hello World"
是将一个存储在一个只读的数据段中字符串常量"Hello World"的首地址赋值给了str

gets(str); 尝试从标准输入读取一个字符串并存储在 str 指向的位置。但是，由于 str 没有被初始化为指向有效的内存，gets 函数可能会尝试写入一个随机的内存地址，这会导致程序崩溃或更糟糕的后果。
puts(str); 试图打印从 gets 读取的字符串。但是，由于 gets 可能导致未定义行为，str 指向的内容可能是不确定的，所以 puts 的行为也是不确定的。

更糟糕的是，gets 函数已被认为是不安全的，并且在 C11 标准中已被移除，因为它不提供任何方式来防止缓冲区溢出。如果输入的数据超过了 str 实际指向的缓冲区的大小，就会发生缓冲区溢出，这可能导致程序崩溃、数据损坏或更严重的安全漏洞（如栈溢出攻击）。

为了避免这种危害，你应该：

使用 malloc 或其他动态内存分配函数为字符串分配内存，并确保 str 指向这块内存。
使用 fgets 替代 gets，因为 fgets 允许你指定一个缓冲区大小，从而防止缓冲区溢出。

关于`fgets`

char *fgets(char *str, int n, FILE *stream);

str：指向一个字符数组的指针，用于存储读取的数据。
n：要读取的最大字符数（包括结尾的空字符 \0）。
stream：指向 FILE 对象的指针，指定要从中读取数据的输入流。

fgets 函数返回一个指向 str 的指针，如果发生错误或达到文件末尾，则返回 NULL。读取的数据包括任何结尾的换行符（如果存在的话），并且字符串总是以空字符 \0 结尾。

#include <stdio.h>  #define MAX_INPUT 100 // 定义输入的最大长度  int main() {  char str[MAX_INPUT];  // 从标准输入读取一行，最多读取 MAX_INPUT - 1 个字符，保留一个位置给空字符  if (fgets(str, MAX_INPUT, stdin) != NULL) {  // 移除可能的换行符  str[strcspn(str, "\n")] = 0;  puts(str);  } else {  printf("Failed to read input.\n");  }  return 0;  
}

`strcspn` 代表 `“string character span”`（字符串字符跨度）

在这里插入图片描述

更安全的C gets()和str* 以及fgets和strcspn的用法

为了避免这种危害，你应该：

关于`fgets`

`strcspn` 代表 `“string character span”`（字符串字符跨度）

相关文章：