memcpy()函数即将禁用

微软已经建议禁用memcpy()函数，该函数很可能会在今年底出现在微软的SDL禁用列表中。memcpy()加入到strcpy, strncpy, strcat, strncat等常用函数的队伍中，都是由于可通过缓存溢出进行安全攻击而被禁用。

一些微软的安全更新由于memcpy()的原因而发布:MS03-030 (DirectX)、MS03-043 (Messenger Service)、MS03-044 (Help and Support)、MS05-039 (PnP)、MS04-011 (PCT)、MS05-030 (Outlook Express)、CVE-2007-3999 (MIT Kerberos v5)、CVE-2007-4000 (MIT Kerberos v5)及其他。

微软禁用的函数有memcpy()、CopyMemory()和RtlCopyMemory()。要禁用这些函数，编程人员可添加以下#pragma代码行到头文件，编译器每一次遇到该行代码的时候都会发出警告。

#pragma deprecated (memcpy, RtlCopyMemory, CopyMemory)

或者针对C++的选项使用下列代码：

#define _CRT_SECURE_WARNINGS_MEMORY

对于GCC使用以下代码：

#pragma GCC poison memcpy RtlCopyMemory CopyMemory

推荐使用的代替函数是memcpy_s()，它在VC++ 2008的签名如下：

errno_t __cdecl
memcpy_s(
_Out_opt_bytecap_post_bytecount_(_DstSize, _MaxCount)
void * _Dst,
_In_ rsize_t _DstSize,
_In_opt_bytecount_(_MaxCount) const void * _Src,
_In_ rsize_t _MaxCount
);

完整的SDL列表包含许多禁用的函数调用和建议替代的函数。部分摘录如下：

Description 描述	Banned function 禁用函数	Recommended function 推荐函数
String copy 字符串复制函数	strcpy, wcscpy, _tcscpy, _mbscpy, StrCpy, StrCpyA, StrCpyW, lstrcpy, lstrcpyA, lstrcpyW, strcpyA, strcpyW, _tccpy, _mbccpy	strcpy_s
String concatenation 字符串连接函数	strcat, wcscat, _tcscat, _mbscat, StrCat, StrCatA, StrCatW, lstrcat, lstrcatA, lstrcatW, StrCatBuffW, StrCatBuff, StrCatBuffA, StrCatChainW, strcatA, strcatW, _tccat, _mbccat	strcat_s
Sprintf Sprintf函数	wnsprintf, wnsprintfA, wnsprintfW, sprintfW, sprintfA, wsprintf, wsprintfW, wsprintfA, sprintf, swprintf, _stprintf	sprintf_s
Tokenizing函数	strtok, _tcstok, wcstok, _mbstok	strtok_s
Scanf	scanf, wscanf, _tscanf, sscanf, swscanf, _stscanf	sscanf_s
	_itoa, _itow, _i64toa, _i64tow, _ui64toa, _ui64tot, _ui64tow, _ultoa, _ultot, _ultow	_itoa_s, _itow_s
Gets	gets, _getts, _gettws	gets_s

 

SDL提供了头文件(banned.h)，编程人员一旦使用所有被禁用函数就会得到相关的警告。另一种可选的方式是编程人员可以在VS2005或后续版本中使用/W4-C4996编译选项。

查看英文原文：memcpy() Is Going to Be Banned