在一個很簡單的printf調(diào)用中：

printf( "blit (T:%d, L:%d, W:%d, H:%d) to (T:%d, L:%d, W:%d, H:%d) costs %d

ticks(%dms)\n",

nPositionY, nPositionX, nWidth, nHeight,

nPositionY, nPositionX, nWidth, nHeight,

clkCost, time_ms( clkCost ) );

原意是讓clkCost匹配costs %dticks，讓time_ms(clkCost)匹配(%dms)。

但clkCost是long long類型(8字節(jié))，匹配完costs %dticks(4字節(jié))后會侵占后面(%dms)中的位置，直接導(dǎo)致time(clkCost)的值沒有位置輸出。

C中的printf函數(shù)沒有參數(shù)長度檢查，所以在編譯期間無法發(fā)現(xiàn)這個漏洞。

類似的錯誤還有參數(shù)長度不足或嚴重不匹配(多見于字符串)，直接導(dǎo)致程序crash。

這兩錯誤的本因是printf調(diào)用的壓棧、解讀策略：

首先定義兩個名詞：

實參 -- printf中第一個參數(shù)之后的參數(shù)，即除格式字符串之外的所有參數(shù)。

槽?? -- 格式字符串中的匹配點，即%d, %s, %f等。

1. 調(diào)用printf壓棧時實參逐個進棧，并不記錄棧中每個實參的具體位置。

2. 解讀格式字符串時每遇到一個槽即從棧中讀取相應(yīng)字節(jié)數(shù)進行替換：例如遇到%d則讀4個字節(jié)進行替換(讀指針隨即下移)；遇到%s則讀取4個字節(jié)作為字符串首址讀取字符串并替換(首址錯誤可以導(dǎo)致crash或堆棧溢出)；遇到%llx字讀取8個字節(jié)進行替換......

這種不檢查長度的替換策略導(dǎo)致的問題中最臭名昭著的莫過于“堆棧溢出攻擊”。本文不詳談。

下面再看看開頭的例子，其中clkCost是8字節(jié)類型，進棧后一切變量類型都失去了意義，所有數(shù)據(jù)只有被解讀時才被賦予意義。cost %dticks中的槽從棧中讀取4字節(jié)替換%d，clkCost的高字節(jié)則被(%dms)中的槽讀去，格式字符串解讀結(jié)束。

不知python的發(fā)明人是否多次被此類問題叨擾，在python的"壓棧、解讀"包struct中有明確的長度檢查，即使實參是字符也會要求明確其長度：

cont = 'abcd'

struct.pack( '%ds' % len(cont), cont )

struct.unpack( 's'*len(cont), cont )

不過python中的問題也只有在運行時才會出現(xiàn)，這一點并不比C優(yōu)越，但python拋出的異常可以提供更多的錯誤信息，比C的直接crash要來的溫和很多。

閱讀(1337) | 評論(0) | 轉(zhuǎn)發(fā)(0) |

總結(jié)

以上是生活随笔為你收集整理的python format 槽中槽_printf中的槽和实参--对比python struct包的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。