Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
'gets' est-il dangereux ?
Bonjour,
lors d'un Tp en programmation, je suis amené à utiliser la fonction 'gets()'.
étant sous Linux, j'utilise le compilateur gcc (gcc -Wall -o prog prog.c).
Lors de la compilation, j'obtiens l'avertissement suivant:
MOn prof n'arrive pas à dire pourquoi cela est dangereux....maj.c.text+0x25): warning: the `gets' function is dangerous and should not be used.
Si quelqu'un le sait ?
Merci d'avance
Les pièges de l'Internet
"La plus grande gloire n'est pas de ne jamais tomber, mais de se relever à chaque chute." Confucius
"Si j'ai vu plus loin, c'est en me tenant sur les épaules de géants." Isaac Newton
Parce que gets() travaille avec un buffer interne pour lire le clavier. Comme la taille de ce buffer n'est pas connue ni contrôlée, il est possible de le faire déborder (en lui soumettant une très très longue chaine) et de créer une attaque par débordement de buffer.
La réponse est dans la FAQ : Pourquoi gets est-elle dépréciée en faveur de fgets ?
merci pour vos réponse
Lors de la discution avec mon prof j'avais soulevé l'idée des attaques par "buffer overflow",mais il me soutenait que cela n'était pas possible et que c'était mon compilateur qui ne marché pas bien.......
"La plus grande gloire n'est pas de ne jamais tomber, mais de se relever à chaque chute." Confucius
"Si j'ai vu plus loin, c'est en me tenant sur les épaules de géants." Isaac Newton
...
Encore un prof qui ne maitrise pas son sujet, mais qui par un orgeuil mal placé ou démesuré n'admetra pas que l'etudiant puisse lui apprendre quelque chose.
Un bon conseil, ne prend surtout pas pour argent comptant ce qui sort de sa bouche si tu souhaite continuer a coder et de surcroit si tu souhaite coder proprement.
Bon courage pour la suite, je sais ce que c'est d'avoir ce genre de prof.
Surtout que c'est un truc que le compilo dit (genre il ne faut pas croire gcc, ou même celui de Visual), et que en plus, c'est marqué dans la page de man de la fonction. (La section que je préfère qui s'appelle BUGS).
D'ailleurs, c'est grace au man que j'ai appris que l'on ne devait pas l'utilisé. Comme quoi, toujours lire une doc, entièrement
Vous souhaitez participer à la rubrique 2D/3D/Jeux ? Contactez-moi
Ma page sur DVP
Mon Portfolio
Qui connaît l'erreur, connaît la solution.
Sur ce point là quand même, c'est vrai qu'il ne faut pas croire tout ce que Visual ditgenre il ne faut pas croire gcc, ou même celui de Visual.
Et aussi dans la norme. Personnellement, je préfère toujours lire la norme plutôt que les man pages ou MSDN Library quand il s'agit de fonctions/fonctionnalités standard. Mais c'est vrai que les man pages et MSDN Library ça s'ouvre en un clin d'oeil alors que pour consulter la norme il faut un peu faire une descente dans son disque dur, à moins d'avoir déjà défini des raccourcis claviers comme moi je l'ai fait (Ctrl + Alt + Shift + C => Std Cc'est marqué dans la page de man de la fonction).
Répondre avec citation
Partager