嘿 那大家就來玩 flawfinder 吧 http://www.dwheeler.com/flawfinder 已經有 deb package 跟 bsd ports 只是...蠻笨的 我覺得 只會看一看 覺得有問題的函式就說一聲 也沒有看 control flow 所以有蠻多不會有事的警告 像 ptt source 跑下去 它丟了 1778 個 hints... ※ 引述《Freak1033 (Shirase Akira)》之銘言： : ※ 引述《pangfeng (Ikari Gendou)》之銘言： : : 你的見解完全正確. 因為我們還沒教到fgets, 所以先用gets應付. : : 建議版主m起來. : 補充一點, : 其實scanf也有一樣的問題, : 譬如說: : char buf[1024]; : scanf ("%s",buf); : 惡意攻擊的人也可以把超過1024 bytes的資料送進scanf, : 那麼你的陣列就"暴走"了, : 所以通常在設計有特別安全需求的程式的時候我們會這樣寫: : scanf ("%1024s",buf); : 這樣scanf就不會讓buf吃撐了. -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 218.167.182.90