• [^] # Re: Le man ne suffit pas

    Posté par . En réponse à la dépêche Failles de sécurité dans openssl. Évalué à 0.

    N'y aurait-il pas qqpart une liste des fonctions de la libc dont on peut être sûr

    Houla pas tant d'inquiétude.
    Toutes les fonctions sont potentiellement dangereuses, ça dépend comment tu t'en sers.
    Que le strpcy() puisse être dangereux, c'est une question de bon sens car la copie s'arrête quand elle rencontre un '0円' (caractère de fin de chaîne en C), et s'il n'y a pas de zéro avant longtemps, la copie finit par déborder.
    Pour faire un programme sûr, il faut ne pas faire confiance à ce qui entre (vérifier les tailles des paramètres, les valeurs pour les quantités). Pour la libc, de préférence utiliser les fonctions avec le "n" comme strncpy et snprintf, qui assurent de ne pas déborder le buffer dans lequel on écrit puisqu'on peut fixer une limite. Il suffit de regarder une fois la page de man pour les quelques fonctions de manipulation de chaîne que tu utilises, et c'est bon.
    Je n'en ai pas sous la main mais il y a des URL qui t'expliquent comment programmer de la façon la plus sûre possible.