防止Visual C++应用程序缓冲区溢出

核心提示： 验证过程发生在ProcessData()方法中，该方法把输入的字符串、最小的字符串长度、最大的字符串长度作为输入信息，防止Visual C++应用程序缓冲区溢出(6)，请注意，这段代码首先验证输入参数是否正确，合格表达式定义了可接受的字符串输入，因此你可以轻易地检测到非法的字符，Upper

验证过程发生在ProcessData()方法中，该方法把输入的字符串、最小的字符串长度、最大的字符串长度作为输入信息。请注意，这段代码首先验证输入参数是否正确。UpperLimit参数必须比LowerLimit参数大。这部分代码演示了良好的编程习惯--永远不要相信你接收到的输入信息。请注意，这部分代码产生System::ArgumentException异常而不是通用的异常。虽然特定的异常表现更好，但是大多数开发者还是使用通用的异常。如果.NET框架组件不能为你的代码需求提供特定的异常，你应该建立定制的异常。

代码接着验证字符串。如果字符串的字符数量太多或者太少，代码就产生 System::Security::SecurityException异常。在这儿使用安全性异常是正确的，因为这类事件就会导致安全性异常。用户可能决定输入长字符串以创造缓冲区溢出的条件。即使用户只是犯了一个错误，你引发这个安全性异常意味着你至少可以验证这个异常的起因，而不是简单地跳过去。

这个例子的测试代码在btnDataLength_Click()方法之中。这段代码在try...catch代码块中执行以确保异常都会被捕捉到。真正的检查只是一个简单的if语句。这段代码为每个异常都包含了catch语句。如果你希望确保应用程序注意到任何安全性异常并适当地作出处理，那么捕捉异常就很重要了。

排除非法的字符

黑客经常在输入信息中包含一些额外的非法字符，以了解会发生什么情况。例如，黑客通常会通过添加特定的字符建立脚本。在很多情况下，系统在没有提供任何警告的情况下就会执行脚本，赋予黑客访问系统的权利。对于这种利用方式来说，Web应用程序比桌面应用程序受的影响更大，但是两者你都必须受到保护。

幸运的是，.NET框架组件提供了强大的合格表达式（regular expression）支持。合格表达式定义了可接受的字符串输入，因此你可以轻易地检测到非法的字符。列表4显示了使用合格表达式的一个方法。