MISRA C:2012 Dir 4.14

应检查从外部来源获得的值的有效性。

全页展开

描述

指令定义

应检查从外部来源获得的值的有效性。 ¹

此规则来自 MISRA C™:2012 Amendment 1。

理由

来自外部源的值可能会因错误或攻击者的故意修改而无效。在使用数据之前，您必须先验证数据的有效性。

例如：

在将外部输入用作数组索引之前，必须检查该输入是否可能会导致数组边界错误。
在使用外部变量控制循环之前，必须检查该变量是否可能导致无限循环。

Polyspace 实现

规则检查项会检查以下问题：

使用被污染的索引进行数组访问。
从外部控制路径执行的命令。
执行外部控制命令。
使用外部控制元素进行主机更改。
从外部控制路径加载的库。
循环界限值被污染。
内存分配大小被污染。
使用被污染的偏移量进行指针解引用。
除法操作数被污染。
模操作数被污染。
受污染的 NULL 或未以空字符终止的字符串。
符号变化转换被污染。
可变长度数组大小被污染。
字符串格式被污染。
使用外部控制的环境变量。
使用被污染的指针.
在需要以空字符结尾的字符串中使用外部获得的字符串，且该字符串没有空字符。此类使用可能导致未定义行为。例如，在此代码中，函数 printf() 期望字符串以空字符结束。使用未以空字符终止的字符数组 str 会导致未定义的行为。
```
    char str[10];
    scanf("%10c", str);
    printf("%s",str);//Null terminated string expected
```
使用从外部获得的不确定字符串。例如，如果您调用 fgets() 系列函数来设置字符串的值，但函数调用失败，则该字符串可能为未确定值：
```
    char buffer[10];
    fgets(buffer, sizeof(buffer), stdin); //buffer is indeterminate if fgets() fails
    printf("%s",buffer); // Possible undefined behvior
```
因为函数 printf() 期待一个以空字符结尾的字符串，所以在这个函数中使用 buffer 会导致未定义的行为。

故障排除

如果您预期会出现违规，但未看到该违规，请参阅诊断为何编码规范违规未按预期显示。

示例

全部展开

未检查外部值的有效性

#include <stdio.h>

void f1(char from_user[])
{
        char input [128];
        (void) sscanf (from_user, "%128c", input);
        (void) sprintf ("%s", input);/*Noncompliant*/
}

在此示例中，sscanf 语句不合规，因为没有检查用户输入是否以空字符结束。随后输出字符串的 sprintf 语句可能会导致数组边界错误（缓冲区溢出）。

打印无效的外部输入字符串

在此示例中，函数 scanf() 和 fgets() 读取两个 char 数组，然后通过调用 printf() 打印这些数组。由于输入字符串是从外部获得的，因此它们可能不确定或缺少终止字符。使用 printf() 打印此类字符串会导致未定义的行为。Polyspace^® 会报告违反此规则的情况。


#include <stdio.h>
void echo_in() {
       //...
    char buffer[10];
    scanf("%10c", buffer);
	//...
    printf("%s", buffer); //Noncompliant - buffer is not null-terminated
	//...
    fgets(buffer, sizeof(buffer), stdin);
      //...
    printf("%s",buffer); //Noncompliant - buffer might be indeterminate
}

检查信息

组：代码设计

类别：必需

AGC 类别：必需

版本历史记录

在 R2017a 中推出

全部展开

R2023a: 检查项报告外部获得的非空字符串或不确定字符串

规则检查器会报告以下问题的违规情况：

在需要以空字符结束的字符串中使用外部获得的、没有空字符结束的字符串。此类使用可能导致未定义行为。例如，在此代码中，printf() 期望一个以空字符结尾的字符串。使用非空终止的字符数组 str 会导致未定义的行为。
```
    char str[10];
    scanf("%10c", str);
    printf("%s",str);//Null terminated string expected
```
使用从外部获得的不确定字符串。当 fgets() 系列函数失败时，从外部获得的字符串将变得不确定。该字符串的每个元素都是一个未初始化的变量。使用这样的不确定字符串可能会导致意外或未定义的行为。例如，在此代码中，如果函数 fgets() 失败，则 buffer 成为一个不确定的字符串，由未初始化的元素组成。因为函数 printf() 期待一个以空字符结尾的字符串，所以在这个函数中使用 buffer 会导致未定义的行为。
```
    char buffer[10];
    fgets(buffer, sizeof(buffer), stdin);
    printf("%s",buffer); 
```

另请参阅

检查 MISRA C:2012 (-misra3)

主题

检查并审查编码标准违规

The MISRA coding standards referenced in the Polyspace Bug Finder™ documentation are from the following MISRA standards:

MISRA C:2004
MISRA C:2012
MISRA C:2023
MISRA C++:2008
MISRA C++:2023

MISRA and MISRA C are registered trademarks of The MISRA Consortium Limited 2021.