目录
6.2避免相对路径导致的安全问题(DLL、EXE劫持等问题)
C/C++一般使用驼峰命名的方式进行命名
C语言:
a:文件命名统一采用小写字符
b:文件名命名只允许使用小写字母、数字以及下划线(_)。
c:文件名应尽量简短、准确、无二义性。
C++:
a:C++文件以.cpp结尾,头文件以.h结尾
b:C++的头文件和cpp文件名和类名保持一致,使用下划线小写风格
C/C++:
a:函数命名统一使用大驼峰风格
b:函数的命名遵循阅读习惯;
动作类函数名,可以使用动宾结构。如:AddTableEntry()
判断型函数,可以用形容词,或加 is:DataReady()
数据型函数:TotalCount()
a:类型命名采用大驼峰命名风格。
b:通过 typedef 对结构体、联合体、枚举起别名时,尽量使用匿名类型。
c:若需要指针自嵌套,可以增加 ‘tag’ 前缀或下划线后缀。
a:变量命名使用小驼峰风格
b:全局变量应增加 ‘g_’ 前缀,函数内静态变量命名不需要加特殊前缀
c:局部变量应该简短,且能够表达相关含义
避免使用不执行边界检查的字符串函数,因为它们可能被用来进行缓冲区溢出攻击。例如strcpy、strcat、sprintf、wcscpy、mbscpy等,这些函数可以输出一长串字符串,而不限制长度。如果环境允许,应当使用其_s安全版本替代,或者使用n版本函数。
system、WinExec、CreateProcess、ShellExecute等启动进程类的函数,需要严格检查其参数。
_alloca 和可变长度数组使用的内存量在编译期间不可知。尤其是在循环中使用时,根据编译器的实现不同,可能会导致:a:栈溢出,即拒绝服务;
b:缺少栈内存测试的编译器实现可能导致申请到非栈内存,并导致内存损坏。
2.4printf系列参数必须对应
所有printf系列函数,如sprintf,snprintf,vprintf等必须对应控制符号和参数。
所有printf系列函数,要防止格式化完的字符串泄露程序布局信息。%p的值只应当在程序内使用,而不应当输出到外部或被外部以某种方式获取。
2.6对数组delete时需要使用delete[]
2.7注意隐式符号转换
两个无符号数相减为负数时,结果应当为一个很大的无符号数,但是小于int的无符号数在运算时可能会有预期外的隐式符号转换。
在C/C++中,有一些函数是安全的,可以避免缓冲区溢出。如strcpy_s、strcat_s、sprintf_s、snprintf等函数,它们都是带有长度参数的,可以确保不会写入超出缓冲区长度的数据。
在处理字符串时,要注意检查输入的字符串长度,确保不会超出缓冲区长度。可以使用strlen函数来获取字符串长度,然后与缓冲区长度进行比较。
可以使用动态内存分配函数,如malloc和realloc,在运行时动态分配缓冲区,避免固定缓冲区大小不足的问题。
STL提供了多种容器,如vector、list、map等,这些容器会自动管理内存,避免了手动分配内存的问题。
检查所有的输入数据的有效性,以防止注入攻击、缓存区溢出等漏洞的产生。
要避免整数溢出,可以使用较大的数据类型来存储整数变量,或者对变量进行检查。
避免整数溢出的措施:
a:使用正确的数据类型:根据实际情况选择合适的数据类型,如使用long long代替int64_t,避免数据类型不匹配的问题。
b:检查溢出情况:在进行整数运算时,可以使用条件语句判断是否发生了溢出,避免数据丢失或者错误。
switch中应该有default,以处理各种预期外的情况。这可以确保switch接受用户输入,或者后期在其他开发者修改函数后确保switch仍可以覆盖到所有情况,并确保逻辑正常运行。
包含过多信息的Debug消息不应当被用户获取到。Debug信息可能会泄露一些值,例如内存数据、内存地址等内容,这些内容可以帮助攻击者在初步控制程序后,更容易地攻击程序。
a:如果业务需求是认证加密数据传输,应优先考虑直接用 HTTPS 协议。
b:如果是其它业务需求,可考虑由服务器端生成对称秘钥,客户端通过HTTPS等认证加密通信渠道从服务器拉取。
c:根据用户特定的会话信息,比如登录认证过程可以根据用户名用户密码业务上下文等信息,使用HKDF等算法衍生出对称秘钥。
d:使用 RSA/ECDSA + ECDHE 等进行认证秘钥协商,生成对称秘钥。
4.4有逻辑联系的数组必须仔细检查
4.5避免函数的声明和实现不同
在头文件、源代码、文档中列举的函数声明应当一致,不应当出现定义内容错位的情况。
当开发中遇到较长的句子时,如果选择了复制粘贴语句,要检查每一行代码,不要出现上下两句相同的情况,这通常代表代码出现了错误
a:有/无符号整数运算溢出
b:整形转换时出现数据截断
c:对有符号整数使用为操作符运算
5.3有符号整数溢出的结果有不确定性,无符号整数溢出会出现反转环绕
在进行文件操作时,需要判断外部传入的文件名是否合法,如果文件名中包含 ../ 等特殊字符,则会造成路径穿越,导致任意文件的读写。
6.2避免相对路径导致的安全问题(DLL、EXE劫持等问题)
在程序中,使用相对路径可能导致一些安全风险,例如DLL、EXE劫持等问题。
在创建文件时,需要根据文件的敏感级别设置不同的访问权限,以防止敏感数据被其他恶意程序读取或写入。
a:内存拷贝/分配时未检验合理性
b:引用空指针/野指针/未定义指针/已释放内存的指针
c:使用不匹配的内存管理操作、重复释放、使用有隐患的函数比如realloc和alloca等;
导致拒绝服务攻击(比如程序崩溃)、执行任意代码(溢出越界)等
任意地址写会导致严重的安全隐患,可能导致代码执行。因此,在编码时必须校验写入的地址。
文章浏览阅读3.2k次。本文研究全球与中国市场分布式光纤传感器的发展现状及未来发展趋势,分别从生产和消费的角度分析分布式光纤传感器的主要生产地区、主要消费地区以及主要的生产商。重点分析全球与中国市场的主要厂商产品特点、产品规格、不同规格产品的价格、产量、产值及全球和中国市场主要生产商的市场份额。主要生产商包括:FISO TechnologiesBrugg KabelSensor HighwayOmnisensAFL GlobalQinetiQ GroupLockheed MartinOSENSA Innovati_预计2026年中国分布式传感器市场规模有多大
文章浏览阅读1.1k次,点赞2次,收藏12次。常用组合逻辑电路结构——为IC设计的延时估计铺垫学习目的:估计模块间的delay,确保写的代码的timing 综合能给到多少HZ,以满足需求!_基4布斯算法代码
文章浏览阅读3.3k次,点赞3次,收藏5次。OpenAI Manager助手(基于SpringBoot和Vue)_chatgpt网页版
文章浏览阅读2.2k次。USACO自1992年举办,到目前为止已经举办了27届,目的是为了帮助美国信息学国家队选拔IOI的队员,目前逐渐发展为全球热门的线上赛事,成为美国大学申请条件下,含金量相当高的官方竞赛。USACO的比赛成绩可以助力计算机专业留学,越来越多的学生进入了康奈尔,麻省理工,普林斯顿,哈佛和耶鲁等大学,这些同学的共同点是他们都参加了美国计算机科学竞赛(USACO),并且取得过非常好的成绩。适合参赛人群USACO适合国内在读学生有意向申请美国大学的或者想锻炼自己编程能力的同学,高三学生也可以参加12月的第_usaco可以多次提交吗
文章浏览阅读394次。1.1 存储程序1.2 创建存储过程1.3 创建自定义函数1.3.1 示例1.4 自定义函数和存储过程的区别1.5 变量的使用1.6 定义条件和处理程序1.6.1 定义条件1.6.1.1 示例1.6.2 定义处理程序1.6.2.1 示例1.7 光标的使用1.7.1 声明光标1.7.2 打开光标1.7.3 使用光标1.7.4 关闭光标1.8 流程控制的使用1.8.1 IF语句1.8.2 CASE语句1.8.3 LOOP语句1.8.4 LEAVE语句1.8.5 ITERATE语句1.8.6 REPEAT语句。_mysql自定义函数和存储过程
文章浏览阅读188次。半导体二极管——集成电路最小组成单元。_本征半导体电流为0
文章浏览阅读2.8k次,点赞3次,收藏18次。游戏水面特效实现方式太多。咱们这边介绍的是一最简单的UV动画(无顶点位移),整个mesh由4个顶点构成。实现了水面效果(左图),不动代码稍微修改下参数和贴图可以实现岩浆效果(右图)。有要思路是1,uv按时间去做正弦波移动2,在1的基础上加个凹凸图混合uv3,在1、2的基础上加个水流方向4,加上对雾效的支持,如没必要请自行删除雾效代码(把包含fog的几行代码删除)S..._unity 岩浆shader
文章浏览阅读5k次。广义线性模型是线性模型的扩展,它通过连接函数建立响应变量的数学期望值与线性组合的预测变量之间的关系。广义线性模型拟合的形式为:其中g(μY)是条件均值的函数(称为连接函数)。另外,你可放松Y为正态分布的假设,改为Y 服从指数分布族中的一种分布即可。设定好连接函数和概率分布后,便可以通过最大似然估计的多次迭代推导出各参数值。在大部分情况下,线性模型就可以通过一系列连续型或类别型预测变量来预测正态分布的响应变量的工作。但是,有时候我们要进行非正态因变量的分析,例如:(1)类别型.._广义线性回归模型
文章浏览阅读69次。环境保护、 保护地球、 校园环保、垃圾分类、绿色家园、等网站的设计与制作。 总结了一些学生网页制作的经验:一般的网页需要融入以下知识点:div+css布局、浮动、定位、高级css、表格、表单及验证、js轮播图、音频 视频 Flash的应用、ul li、下拉导航栏、鼠标划过效果等知识点,网页的风格主题也很全面:如爱好、风景、校园、美食、动漫、游戏、咖啡、音乐、家乡、电影、名人、商城以及个人主页等主题,学生、新手可参考下方页面的布局和设计和HTML源码(有用点赞△) 一套A+的网_垃圾分类网页设计目标怎么写
文章浏览阅读614次,点赞7次,收藏11次。之前找到一个修改 exe 中 DLL地址 的方法, 不太好使,虽然能正确启动, 但无法改变 exe 的工作目录,这就影响了.Net 中很多获取 exe 执行目录来拼接的地址 ( 相对路径 ),比如 wwwroot 和 代码中相对目录还有一些复制到目录的普通文件 等等,它们的地址都会指向原来 exe 的目录, 而不是自定义的 “lib” 目录,根本原因就是没有修改 exe 的工作目录这次来搞一个启动程序,把 .net 的所有东西都放在一个文件夹,在文件夹同级的目录制作一个 exe._.net dll 全局目录
文章浏览阅读1.5k次。本文为转载,原博客地址:http://blog.csdn.net/hujingshuang/article/details/46910259简介 BRIEF是2010年的一篇名为《BRIEF:Binary Robust Independent Elementary Features》的文章中提出,BRIEF是对已检测到的特征点进行描述,它是一种二进制编码的描述子,摈弃了利用区域灰度..._breif description calculation 特征点
文章浏览阅读4.1k次,点赞21次,收藏79次。本文是《基于SpringBoot的房屋租赁管理系统》的配套原创说明文档,可以给应届毕业生提供格式撰写参考,也可以给开发类似系统的朋友们提供功能业务设计思路。_基于spring boot的房屋租赁系统论文