被淘汰的gets及其安全版本fgets

Posted 2021-06-04 joker D888

请抛弃gets(),使用更安全的fgets()!!

• 前言：可能你在做某些OJ时会发现，当你使用gets()时，编译器可能会出现如下提示：

（来自于PTA,编译器：gcc，编译器版本:6.5.0）

警告：“get”已被弃用。

那么get究竟犯了多大的错呢，以致于被舍弃？

• 因为gets()在读到’\\n’或者流末尾的时候才会停下来,把数据写入s指向的缓冲区，然后返回。它并不理会缓冲区的大小。如果缓冲区只有32字节，当前读到的行多于32个字符时，就会溢出缓冲区边界，带来错误，甚至危险。 有统计表明，80%以上的黑客攻击都是利用这种漏洞进行的，其中为数不少的攻击就是直接针对gets()展开的。这种攻击称为缓冲区溢出式攻击。

• 

• fgets0恰恰解决了此问题。它的第二个参数n用来说明缓冲区的大小，限制fgets无论如何都不能超过缓冲区的界限。Linux中关于gets（）和fgets()的标准文档里，斩钉截铁地写着:"Never use gets()…Use fget() instead."怎么替换呢?假如定义一个缓冲区 char buffer[32],用gets()读入字符串：
  gets(buffer);
  如果替换成:
  fgets(buffer,sizeof(buffer),stdin);
  这样就安全、健壮多了。
  用scanf()读入字符串时一样有缓存区溢出问题，所以也要用fgets()来替代。

（部分内容来自于c语言大学生实用教程（第4版））
如有错误或描述不当，欢迎指正。