Чому printf з одним аргументом (без специфікаторів конверсії) застарів?

У книзі, яку я читаю, написано, що printfз одним аргументом (без специфікаторів перетворення) застаріла. Рекомендує замінити

printf("Hello World!");

з

puts("Hello World!");

або

printf("%s", "Hello World!");

Може хтось скаже мені, чому printf("Hello World!");це неправильно? У книзі написано, що вона містить вразливості. Які ці вразливості?

printf("Hello World!"); ІМХО не вразливий, але врахуйте це:

const char *str;
...
printf(str);

Якщо strтрапляється вказівка ​​на рядок, що містить %sспецифікатори формату, у вашій програмі буде виявлено невизначене поведінку (переважно збої), тоді як puts(str)просто відображатиметься рядок як є.

Приклад:

printf("%s");   //undefined behaviour (mostly crash)
puts("%s");     // displays "%s\n"

printf("Hello world");

добре і не має вразливості безпеки.

Проблема полягає в:

printf(p);

де pвказівник на вхід, яким керує користувач. Це схильне до форматних атак рядків : користувач може вставити специфікації перетворення, щоб взяти під контроль програму, наприклад, %xскинути пам'ять або %nперезаписати пам'ять.

Зауважте, що puts("Hello world")не є рівнозначним у поведінці, printf("Hello world")але до printf("Hello world\n"). Компілятори зазвичай досить розумні, щоб оптимізувати останній виклик, щоб замінити його puts.

Надалі інші відповіді printf("Hello world! I am 50% happy today")- це простий помилка, яка може спричинити всілякі неприємні проблеми з пам'яттю (це UB!).

Це просто простіше, простіше і надійніше "вимагати" від програмістів бути абсолютно зрозумілими, коли вони хочуть дословного рядка і нічого іншого .

І саме це printf("%s", "Hello world! I am 50% happy today")отримує вас. Це цілком безглуздо.

(Стів, звичайно printf("He has %d cherries\n", ncherries), абсолютно не одне й те саме; в цьому випадку програміст не в умовному режимі "дословна рядок"; вона знаходиться в "умовному строці" формату.)

Я просто додам трохи інформації стосовно частини вразливості .

Кажуть, що вона вразлива через вразливість формату printf string. У вашому прикладі, коли рядок жорстко кодується, вона нешкідлива (навіть якщо рядки жорсткого кодування, як це, ніколи не рекомендується повністю). Але вказувати типи параметрів - це корисна звичка. Візьмемо цей приклад:

Якщо хтось вводить символ рядка формату у ваш printf замість звичайного рядка (скажімо, якщо ви хочете роздрукувати програму stdin), printf візьме все, що він може, на стек.

Це було (і досі є) дуже використовуваним для використання програм у дослідженні стеків для доступу до прихованої інформації або обходу аутентифікації, наприклад.

Приклад (C):

int main(int argc, char *argv[])
{
    printf(argv[argc - 1]); // takes the first argument if it exists
}

якщо я ставлю як вхід цієї програми "%08x %08x %08x %08x %08x\n"

printf ("%08x %08x %08x %08x %08x\n"); 

Це вказує функції printf отримати п'ять параметрів із стека та відобразити їх у вигляді 8-значних прокладених шістнадцяткових чисел. Тому можливий вихід може виглядати так:

40012980 080628c4 bffff7a4 00000005 08059c04

Дивіться це для більш повного пояснення та інших прикладів.

Виклик printfу рядках прямого формату є безпечним та ефективним, і існують інструменти для автоматичного попередження, якщо ваш виклик printfрядками формату, наданими користувачем, небезпечний.

Найсильніші атаки printfскористаються %nспецифікатором формату. На відміну від усіх інших специфікаторів формату, наприклад %d, %nфактично записує значення на адресу пам'яті, надану в одному з аргументів формату. Це означає, що зловмисник може перезаписати пам'ять і, таким чином, потенційно взяти під контроль вашу програму. У Вікіпедії подано більш детальну інформацію.

Якщо ви телефонуєте printfза допомогою рядка в прямому форматі, зловмисник не може проникнути %nу ваш рядок формату, і таким чином ви в безпеці. Насправді, gcc перетворить ваш дзвінок printfна дзвінок puts, тому не існує різниці (тестуйте це запуском gcc -O3 -S).

Якщо ви телефонуєте printfза допомогою рядка формату, передбаченого користувачем, зловмисник може потенційно проникнути %nу ваш рядок формату та взяти під контроль свою програму. Зазвичай ваш компілятор попередить, що його небезпечно -Wformat-security. Існують також більш досконалі інструменти, які забезпечують безпеку виклику printfнавіть у рядках формату, що надаються користувачем, і вони можуть навіть перевірити, чи передаєте ви потрібне число та тип аргументів printf. Наприклад, для Java є помилка Google у помилках і Checker Framework .

Це неправильна порада. Так, якщо для друку є рядок,

printf(str);

досить небезпечно, і завжди слід користуватися

printf("%s", str);

натомість, тому що взагалі ви ніколи не можете знати, чи strможе містити %знак. Однак якщо у вас є постійний рядок часу компіляції , з цим нічого поганого немає

printf("Hello, world!\n");

(Крім усього іншого, це найкласичніша програма С на будь-який час, буквально з книги програмування на С Genesis. Тож, хто зневажає, що використання є досить єретичним, і я на одного був би дещо ображений!)

Досить неприємним аспектом printfє те, що навіть на платформах, де зчитувана пам'ять може спричиняти лише обмежену (і прийнятну) шкоду, один із символів форматування %nвикликає інтерпретацію наступного аргументу як вказівник на записане ціле число, і викликає кількість виведених символів до цього часу для збереження в ідентифікованій таким чином змінній. Я ніколи не використовував цю функцію сам, а іноді використовую легкі методи стилю printf, які я написав, щоб включати лише ті функції, які я фактично використовую (і не включаю в себе ту чи іншу подібну), але подачу стандартних рядків функцій printf, отриманих з недостовірних джерел може виявляти вразливі місця безпеки, ніж можливість зчитування довільного зберігання.

Оскільки ніхто не згадував, я б додав замітку щодо їх виконання.

За звичайних обставин, якщо не використовувати оптимізацій компілятора (тобто printf()фактично викликів, printf()а не fputs()), я б очікував, що вони printf()будуть ефективнішими, особливо для довгих рядків. Це тому, що printf()має проаналізувати рядок, щоб перевірити, чи є якісь специфікатори перетворення.

Щоб підтвердити це, я провів кілька тестів. Тестування проводиться на Ubuntu 14.04, з gcc 4.8.4. Моя машина використовує процесор Intel i5. Тестується програма така:

#include <stdio.h>
int main() {
    int count = 10000000;
    while(count--) {
        // either
        printf("qwertyuiopasdfghjklzxcvbnmQWERTYUIOPASDFGHJKLZXCVBNM");
        // or
        fputs("qwertyuiopasdfghjklzxcvbnmQWERTYUIOPASDFGHJKLZXCVBNM", stdout);
    }
    fflush(stdout);
    return 0;
}

Обидва складені с gcc -Wall -O0. Час вимірюється за допомогою time ./a.out > /dev/null. Далі - результат типового пробігу (я пробіг їх п'ять разів, всі результати - протягом 0,002 секунд).

Для printf()варіанту:

real    0m0.416s
user    0m0.384s
sys     0m0.033s

Для fputs()варіанту:

real    0m0.297s
user    0m0.265s
sys     0m0.032s

Цей ефект посилюється, якщо у вас дуже довга струна.

#include <stdio.h>
#define STR "qwertyuiopasdfghjklzxcvbnmQWERTYUIOPASDFGHJKLZXCVBNM"
#define STR2 STR STR
#define STR4 STR2 STR2
#define STR8 STR4 STR4
#define STR16 STR8 STR8
#define STR32 STR16 STR16
#define STR64 STR32 STR32
#define STR128 STR64 STR64
#define STR256 STR128 STR128
#define STR512 STR256 STR256
#define STR1024 STR512 STR512
int main() {
    int count = 10000000;
    while(count--) {
        // either
        printf(STR1024);
        // or
        fputs(STR1024, stdout);
    }
    fflush(stdout);
    return 0;
}

Для printf()варіанту (тричі тривав, реальні плюс / мінус 1,5 с):

real    0m39.259s
user    0m34.445s
sys     0m4.839s

Для fputs()варіанту (тричі тривалий, дійсний плюс / мінус 0,2с):

real    0m12.726s
user    0m8.152s
sys     0m4.581s

Примітка: Оглянувши збірку, генеровану gcc, я зрозумів, що gcc оптимізує fputs()виклик під fwrite()дзвінок навіть з -O0. ( printf()Виклик залишається незмінним.) Я не впевнений, чи це недійсно мій тест, оскільки компілятор обчислює довжину рядка для fwrite()моменту компіляції.

printf("Hello World\n")

автоматично компілюється в еквівалент

puts("Hello World")

ви можете перевірити це, розібравши свій виконуваний файл:

push rbp
mov rbp,rsp
mov edi,str.Helloworld!
call dword imp.puts
mov eax,0x0
pop rbp
ret

використовуючи

char *variable;
... 
printf(variable)

призведе до проблем безпеки, ніколи не використовуйте printf таким чином!

тож ваша книга фактично правильна; використання printf з однією змінною застаріле, але ви все одно можете використовувати printf ("мій рядок \ n"), оскільки воно автоматично стане ставитим

Для gcc можна включити конкретні попередження для перевірки printf()та scanf().

У документації gcc зазначено:

-Wformatвключено до -Wall. Для більшого контролю над деякими аспектами формату перевірка, параметрів -Wformat-y2k, -Wno-format-extra-args, -Wno-format-zero-length, -Wformat-nonliteral, -Wformat-security, і -Wformat=2доступні, але не включені в -Wall.

-Wformat, Який включений в -Wallопції не дозволяє кілька спеціальних попереджень , які допомагають знайти ці випадки:

• -Wformat-nonliteral буде попереджати, якщо ви не передасте рядковий літерал як специфікатор формату.
• -Wformat-securityбуде попереджати, якщо ви передасте рядок, який може містити небезпечну конструкцію. Це підмножина -Wformat-nonliteral.

Я мушу визнати, що ввімкнення -Wformat-securityвиявлених декількох помилок, які ми мали у нашій кодовій базі (модуль реєстрації, модуль обробки помилок, модуль виводу xml, усі мали деякі функції, які могли робити невизначені речі, якби їх викликали із символами% у їхньому параметрі. Для інформації, нашій кодовій базі зараз близько 20 років, і навіть якщо ми знали про подібні проблеми, ми були надзвичайно здивовані, коли ввімкнули ці попередження, скільки цих помилок все ще було в кодовій базі).

Поряд з іншими добре поясненими відповідями з будь-якими побічними проблемами, я хотів би дати точну та стислу відповідь на поставлене питання.

Чому printfз одним аргументом (без специфікаторів конверсії) застаріло?

printfВиклик функції з одним аргументом в цілому НЕ застаріла і не має теж вразливостей при правильному використанні , як ви завжди повинні кодувати.

C Користувачі в усьому світі, починаючи від початківця статусу до експерта зі статусу, використовують printfтакий спосіб, щоб надати просту текстову фразу як вихід на консоль.

Крім того, хтось повинен розрізнити, чи є цей єдиний аргумент рядковим літералом чи покажчиком на рядок, який є дійсним, але зазвичай не використовується. Для останнього, звичайно, можуть статися незручні виходи або будь-який тип не визначеної поведінки , коли покажчик не встановлений належним чином, щоб вказувати на дійсну рядок, але це також може статися, якщо специфікатори формату не відповідають відповідним аргументам, надаючи численні аргументи.

Звичайно, також не правильно і правильно, що рядок, представлений як єдиний аргумент, має будь-які специфікатори формату або конверсії, оскільки перетворення не відбудеться.

Це сказав, надаючи простий рядковий літерал, як "Hello World!"єдиний аргумент, без специфікаторів формату всередині цього рядка, як ви вказали його у питанні:

printf("Hello World!");

взагалі не є застарілою або " поганою практикою ", а також не має вразливих місць.

Насправді, багато програмістів на C починають і починають вивчати і використовувати мови С або навіть мови програмування взагалі з цією програмою HelloWorld і цим printfтвердженням як першими в своєму роді.

Вони не були б такими, якби вони застаріли.

У книзі, яку я читаю, написано, що printfз одним аргументом (без специфікаторів перетворення) застаріла.

Ну, тоді я б зосередив увагу на книзі чи самому авторі. Якщо автор справді робить такі, на мій погляд, невірні твердження і навіть навчаючи, що не пояснюючи чітко, чому він / вона робить це (якщо ці твердження справді буквально еквівалентні, передбачені в цій книзі), я вважав би це поганою книгою. Хороша книга, на відміну від цього, повинна пояснити , чому , щоб уникнути певного роду програмування методів або функцій.

Згідно з тим, що я говорив вище, використання printfлише одного аргументу (рядкового літералу) і без будь-яких специфікаторів формату ні в якому разі не застаріло і не вважається "поганою практикою" .

Ви повинні запитати автора, що він мав на увазі з тим, а ще краще, подумайте його, щоб уточнити чи виправити відповідний розділ для наступного видання чи відбитки взагалі.