防止结构中的字符指针溢出

Question

我有一个函数接受包含敏感数据的struct * 指针（在char 数组中）作为参数（类似于小型库）。 两个struct模型如下：

struct struct1 {
    char str[1024]; /* maybe even 4096 or 10KB+ */
    size_t str_length;
}

struct struct2 {
    char *str;
    size_t str_length;
}

测试函数为：

/* Read str_length bytes from the char array. */
void foo(struct struct1/struct2 *s) {
    int i;
    for (i = 0; i < s->str_length; i++) {
        printf("%c\n", s->str[i]);
    }
}

我担心的是，由于 str_length 参数是一个任意值，因此可能会故意将其设置为导致缓冲区溢出（实际上是某个愚蠢到故意在自己的程序中制造安全漏洞的人，但我觉得我必须考虑到这种情况）。但是，通过使用 struct1 模型，我可以简单地使用以下命令检查可能的缓冲区溢出：

if (s->str_length > sizeof(s->str)) {
    /* ERROR */
}

问题在于长度数组在编译时实际上是未知。所以我不知道是使用char * 指针（struct2 样式，所以没有溢出检查）还是定义一个非常大的数组（struct1），这会限制最大长度（我想避免），并且大多数时候会分配不必要的空间（我想这在内存稀缺的嵌入式系统中可能会出现问题）。我知道我必须做出妥协，我个人会使用 struct2 模型，但我不确定它是否是安全方面的好选择。

Answer 1

您的库的用户从哪里获取 struct2 实例以传递给函数？我认为他不会自己创建它，然后将其地址传递给您的函数，那将是一种奇怪的传递参数的方式。它很可能是从库中的另一个函数返回的，在这种情况下，您可以使 struct2 成为用户无法直接更改的不透明数据类型（或只能以 hacky 方式）：

/* in the header file */
typedef struct2_s struct2;

/* in the implementation file, where allocation is handled as well 
 * so you know str_length is set to the proper value.
 */
struct struct2_s {
  char *str;
  size_t str_length;
};

Answer 2

把大数组放在最后..

struct struct1 {
    anyType thisVar;
    someType anotherVar
    size_t str_length;
    char str[10240000]; /
}

让用户将其分配到他们想要的任何“真实”大小。如果他们设置 'str_length' 错误，那么，无论你做什么，你都无能为力：(