防止Visual C++应用程序缓冲区溢出
2008-11-13 19:32:40 来源:WEB开发网验证过程发生在ProcessData()方法中,该方法把输入的字符串、最小的字符串长度、最大的字符串长度作为输入信息。请注意,这段代码首先验证输入参数是否正确。UpperLimit参数必须比LowerLimit参数大。这部分代码演示了良好的编程习惯--永远不要相信你接收到的输入信息。请注意,这部分代码产生System::ArgumentException异常而不是通用的异常。虽然特定的异常表现更好,但是大多数开发者还是使用通用的异常。如果.NET框架组件不能为你的代码需求提供特定的异常,你应该建立定制的异常。
代码接着验证字符串。如果字符串的字符数量太多或者太少,代码就产生 System::Security::SecurityException异常。在这儿使用安全性异常是正确的,因为这类事件就会导致安全性异常。用户可能决定输入长字符串以创造缓冲区溢出的条件。即使用户只是犯了一个错误,你引发这个安全性异常意味着你至少可以验证这个异常的起因,而不是简单地跳过去。
这个例子的测试代码在btnDataLength_Click()方法之中。这段代码在try...catch代码块中执行以确保异常都会被捕捉到。真正的检查只是一个简单的if语句。这段代码为每个异常都包含了catch语句。如果你希望确保应用程序注意到任何安全性异常并适当地作出处理,那么捕捉异常就很重要了。
排除非法的字符
黑客经常在输入信息中包含一些额外的非法字符,以了解会发生什么情况。例如,黑客通常会通过添加特定的字符建立脚本。在很多情况下,系统在没有提供任何警告的情况下就会执行脚本,赋予黑客访问系统的权利。对于这种利用方式来说,Web应用程序比桌面应用程序受的影响更大,但是两者你都必须受到保护。
幸运的是,.NET框架组件提供了强大的合格表达式(regular expression)支持。合格表达式定义了可接受的字符串输入,因此你可以轻易地检测到非法的字符。列表4显示了使用合格表达式的一个方法。
- ››防止网站被JS挂马和查杀方法
- ››Visual Basic 2008 数学函数
- ››防止iphone进入休眠后台播放音乐
- ››防止iphone进入休眠后台播放音乐
- ››Visual Studio2005中Smart Device的问题
- ››Visual Studio 中根据数据库字段动态生成控件
- ››Visual Studio 11全新黑色主题
- ››Visual Studio 2011 Beta新特性(一):安装VS201...
- ››应用程序的配置管理Poco
- ››防止SQL SERVER的事件探查器跟踪软件的SQL脚本
- ››Visual Studio自定义调试窗体两个小技巧
- ››Visual Studio 2005 Team Edition for Database P...
更多精彩
赞助商链接