[devel] [git update] packages/katrin: heads/master
Slava Semushin
=?iso-8859-1?q?slava=2Esemushin_=CE=C1_gmail=2Ecom?=
Чт Июн 21 22:24:38 MSD 2007
2007/6/22, Денис Климов <kliden / km.ru>:
> Здравствуйте,
> Благодарю за дельные советы.
Рад, что мог быть вам полезен :)
> > [...]
> >> + sprintf(command,"tc qdisc del dev %s root handle 1: htb;\n",iface);
>
> > Многочисленное использование sprintf() и strcpy() в коде наводит на
> > мысль, что пользователям вашего билинга может повезти :)
>
> есть альтернатива когда надо подставить в строку параметры?
[...]
Альтернатив не знаю, но думаю, что а) жесткая проверка параметров б)
использование snprintf() вместо sprintf() и str[nl]cpy() вместо
strcpy() должно существенно помочь вашему коду и, как мне думается,
обезопасить от многих простейших аттак.
P.S. В Сизифе, кстати, есть flawfinder (чуток устаревший, правда, но
багу и повесил :) ), который может указывать на ф-ции, которые
небезопасно использовать. Во всём на него полагаться я бы не стал, а
вот прислушаться стОит :)
--
+ Slava Semushin | slava.semushin @ gmail.com
+ ALT Linux Team | php-coder @ altlinux.ru
Подробная информация о списке рассылки Devel