C语言函数安全使用指南

# C语言函数安全使用指南 ## 1. 引言 在C语言编程中，我们会使用到各种各样的函数来实现不同的功能。然而，这些函数在使用过程中可能会带来安全风险。本文将详细介绍一些常见C语言函数的功能、使用方法以及潜在风险，并给出相应的安全建议。 ## 2. 执行文件相关函数 ### 2.1 _wspawnv函数 - **原型**：`int _wspawnv( int mode, const wchar_t *cmdname, const wchar_t *const *argv )` - **功能**：该函数用于执行文件，并可控制执行模式。它会执行由宽字符字符串`cmdname`指定路径的文件，执行模式由`mode`决定。`argv`是一个指向宽字符字符串数组的指针，包含了文件执行时传递给命令行的参数。 - **执行时机**：有同步和异步两种方式。同步调用返回执行文件的退出状态，异步调用返回与文件执行相关的进程句柄。若出现错误，`errno`会被相应设置。 - **风险**：攻击者常针对此类可执行本地文件的函数，因其能以不同权限启动潜在危险或恶意的可执行文件。为确保安全，需过滤所有输入，禁止用户直接将变量作为参数传递，去除数据中的特殊字符，限制对所需可执行文件的访问，并将所有可执行文件的输出控制在本地应用程序的派生或生成进程内。若可能，避免在应用程序中调用动态程序，静态程序执行更安全。 ### 2.2 _wspawnve函数 - **原型**：`int _wspawnve( int mode, const wchar_t *cmdname, const wchar_t *const *argv, const wchar_t *const *envp )` - **功能**：该函数在执行文件时，除了能控制执行模式，还能控制环境参数。它执行由宽字符字符串`cmdname`指定路径的文件，执行模式由`mode`决定。`argv`是传递给命令行的参数数组，`envp`是包含文件执行环境参数的宽字符字符串指针数组。 - **执行时机**：同样有同步和异步两种方式，同步调用返回执行文件的退出状态，异步调用返回与文件执行相关的进程句柄。若出现错误，`errno`会被相应设置。 - **风险**：与`_wspawnv`函数类似，该函数也能执行本地文件，存在安全隐患。需采取相同的安全措施，如过滤输入、去除特殊字符、限制访问等。 ### 2.3 _wspawnvp函数 - **原型**：`int _wspawnvp( int mode, const wchar_t *cmdname, const wchar_t *const *argv )` - **功能**：该函数从环境变量`PATH`中查找并执行文件，同时可控制执行模式。它执行由宽字符字符串`cmdname`指定的文件，但该文件需位于`PATH`环境变量指定的路径中。执行模式由`mode`决定，`argv`是传递给命令行的参数数组。 - **执行时机**：有同步和异步两种方式，同步调用返回执行文件的退出状态，异步调用返回与文件执行相关的进程句柄。若出现错误，`errno`会被相应设置。 - **风险**：由于能执行本地文件，攻击者可能利用该函数启动危险或恶意的可执行文件。因此，要对输入进行严格过滤，去除特殊字符，限制对所需可执行文件的访问，并控制可执行文件的输出。 ### 2.4 _wspawnvpe函数 - **原型**：`int _wspawnvpe( int mode, const wchar_t *cmdname, const wchar_t *const *argv, const wchar_t *const *envp )` - **功能**：该函数从环境变量`PATH`中查找并执行文件，同时能控制执行模式和环境参数。它执行由宽字符字符串`cmdname`指定的文件，该文件需位于`PATH`环境变量指定的路径中。执行模式由`mode`决定，`argv`是传递给命令行的参数数组，`envp`是包含文件执行环境参数的宽字符字符串指针数组。 - **执行时机**：有同步和异步两种方式，同步调用返回执行文件的退出状态，异步调用返回与文件执行相关的进程句柄。若出现错误，`errno`会被相应设置。 - **风险**：与上述执行文件的函数类似，存在被攻击者利用的风险。需采取过滤输入、去除特殊字符、限制访问等安全措施。 ### 2.5 _wsystem函数 - **原型**：`int _wsystem( const wchar_t *command )` - **功能**：该函数用于从shell中调用系统命令。在调用该函数之前，必须刷新或关闭所有打开的流。根据不同情况，函数会返回不同的值：若在`PATH`中找到命令解释器，对于空的`command`字符串，函数返回一个任意非零整数；若`command`不为空，则返回系统调用的返回值。若未找到命令解释器，函数返回0并设置`errno`。若发生一般错误，函数返回 -1 并设置`errno`。 - **风险**：该函数用于在应用程序中执行系统级命令，这是应用程序后端逻辑中最危险的操作之一，存在多种潜在攻击途径。为确保应用程序的安全，需审查用户输入，去除所有非字母数字字符，限制目录结构，仅允许访问所需可执行文件所在的目录，并将应用程序的所有输出捕获在启动可执行文件的子进程中。可使用`Fork`、`CreateProcess`或`CreateThread`等函数来控制输出。 ## 3. 文件权限和访问相关函数 ### 3.1 access函数 - **原型**：`int access (const char *filename, int type)` - **功能**：该函数用于测试文件的权限。它尝试以`type`指定的权限访问`filename`指定的文件。`type`可用于测试文件的读、写、执行权限以及文件是否存在。若文件存在且可以按请求的权限访问，函数返回0；否则返回 -1，并将`errno`设置为相应的错误。 - **风险**：测试文件权限可能会泄露文件或底层操作系统的敏感信息。因此，该函数的输出应仅用于内部程序使用，禁止用户将其指向特定的系统级文件。 ### 3.2 AfxLoadLibrary函数 - **原型**：`HINSTANCE AFXAPI AfxLoadLibrary( LPCTSTR lpszModuleName )` - **功能**：该函数用于映射模块（可以是DLL或EXE）。它接受一个包含模块路径的字符串，并尝试链接到该模块（如果存在）。若成功，函数返回加载库的句柄；若失败，返回`NULL`。该函数专门用于加载DLL，而不是`LoadLibrary`。可使用`AfxFreeLibrary`函数来取消映射。 - **风险**：默认情况下，`AfxLoadLibrary`函数会在多个位置搜索DLL和EXE模块。为降低风险，在使用该函数时，必须指定所需模块的完整路径。若未指定完整路径，进行默认的多路径搜索，可能会增加执行恶意程序的风险。例如，若目标系统上存在一个被特洛伊化的Microsoft DLL，且其名称包含在执行的应用程序中，远程用户可能会通过易受攻击的应用程序启动该DLL。 ### 3.3 basename函数 - **原型**：`char * basename (const cha