Die Gefahren des Sprints verstehen (…)
OWASP sagt:
"C-Bibliotheksfunktionen wie strcpy (), strcat (), sprintf () und vsprintf () verarbeiten nullterminierte Zeichenfolgen und führen keine Begrenzungsüberprüfung durch."
sprintf schreibt formatierte Daten in den String int sprintf (char * str, const char * format, ...);
Beispiel
sprintf(str, "%s", message); // assume declaration and
// initialization of variables
Wenn ich den Kommentar von OWASP verstehe, sind die Gefahren bei der Verwendung von sprintf folgende:
1) wennBotschaf 's Länge> str 's Länge gibt es einen Pufferüberlauf
un
2) wennBotschaf endet nicht mit\0
, dannBotschaf könnte in @ kopiert werd str jenseits der Speicheradresse vonBotschaf, verursacht einen Pufferüberlauf
Bitte bestätigen / verweigern. Vielen Dan