面向Google编程的CopyPaste程序员要小心了！

张大胖最近接了一个C++的私活，在编程的时候需要生成一个字母和数字混合的随机字符串，张大胖不知道该怎么办，于是打开Google，输入关键字搜索，迅速在Stack Overflow找到了答案，还附有相关代码，他心中窃喜，直接复制粘贴过来，稍加修改，问题搞定，爽!

这可能是很多程序员都干过的事情，但是一个研究显示这么做是有风险的。

1

最近一个计算机科学研究小组研究了Stack Overflow上过去十年的72483个C++代码片段，发现了69个有安全缺陷的代码片段，按照CWE (Common Weakness Enumeration) 的规范，被分成29类。

从数量上来看，69个非常少，总数量的千分之一都不到，但是让人震惊的是这69个有安全缺陷的代码片段又出现在了2859个GitHub的开源项目中!

很明显，这些代码都是程序员从Stack Overflow 复制粘贴过去的。

拿文章开头张大胖的例子来讲， 他需要用C++生成一个字母数字混合的随机字符串，但是不知道怎么办，于是就到Stack Overflow上去搜索，他找到了一个ID为440240的答案，这个答案有265个赞同，被浏览了17万多次，应该是个好答案了吧!

于是，张大胖“动心”了，他认为这是一段能解决问题的好代码，Copy , Paste 吧!

然而这段代码是存在着大坑的。

首先是字符串长度的问题，C/C++字符串以0结尾，带有'len'参数的函数应该把这一点考虑进来，但是这段代码只是简单的设置 s[len]=0 ，这就会导致不可预料的行为。

其次rand()函数已经是一个过时的函数了，不应该被调用了，即使是被使用，也应该先调用srand()设置一个随机数种子。

第三，使用rand() % N 试图来产生一个随机数字也不是最佳实践，因为很多随机数生成器生成数字的低字节并不是真正随机的。

看起来很简单的代码却有很多安全的漏洞，如果贸然复制粘贴到自己的项目中，就是埋了一个地雷。

2

其实，如果张大胖稍微细心一点，他就会看到这个答案有这么几个评论：

实际上已经有人指出代码的错误了，Velkan还明确地说，Stack Overflow应该提供一种机制，让这些过时的、废弃的答案“沉”下去，不能在这里误导大家了。

但是有多少Copy&Paste程序员会细心地看这些评论呢?

这个研究小组的科学家们非常贴心，专门开发了一个Chrome插件，当程序员去查看这些有安全缺陷的代码时，插件就会提示：这段代码有安全漏洞! 试图阻止复制粘贴，并且提供一个更好的解决方案的链接。

3

研究小组的科学家们就这些安全漏洞联系了GitHub项目的开发人员， 从回复来看，只有13.3%的人说他们已经Fix了，有40%的人承认这些漏洞的可能性，但是他们认为输入数据不是动态的，没有安全风险。还有13.3%的人根本不愿意修改。可见安全问题任重而道远啊!

希望能给Copy & Paste程序员敲响一次警钟吧!

参考资料：

https://arxiv.org/pdf/1910.01321.pdf?

https://stackoverflow.com/questions/440133/how-do-i-create-a-random-alpha-numeric-string-in-c/440240#440240

http://c-faq.com/lib/randrange.html

（编辑：ASP站长网）