聚星亭

哈哈哈

額，無語了

空間看見愛是空間的即可撒

我覺得
int StrLen(char *pszString)
{
return printf("%s",pszString);
}
不算犯規吧=。=
不想輸出的話就用sprintf

@chaoswork
嘿嘿，開始還看錯了，試了下沒想到printf真的有返回值呢~
http://www.geekinterview.com/kb/printf-Function-Return-Value.html

不過題目“可以利用的資源只有那個參數”，printf應該不能用把

那個if的，好像不錯！

第二的答案太shit了。。。會crack掉的。

最后出題人給出的算是答案嗎？！
假如給定的字符串有1億個字符，那么是否需要寫1億個if？
盼給出解釋。
第二個答案根本就是訪問非法內存。

@chaoswork
我自己遞歸的函數都算違規，調用庫函數也是一樣違規的……

@空明流轉
@OnTheWay
我在原文后給出追加解釋，希望我理解的沒有什么問題……

訪問非法內存的意思是：訪問了你沒有權限操作的內存，或者說是你不應該操作的內存。
(int *)&p - sizeof(int) * 2 ，這句代碼就是訪問了不應該訪問的內存 ，雖然是 - sizeof(int) * 2。
這種操作是依據于實現的，是危險的操作，當然了訪問非法內存并一定會死機。

@OnTheWay
我感覺C支持嵌匯編，而這種用法符合匯編邏輯，我感覺是沒問題的不危險，而且一定不會死機的，或許是我剛開始學，理解不深入吧……
倘若這位兄臺有心，可否教授一二……

這種操作是依據于實現的，具體的平臺和編譯器會有不同的實現！
也許目前在你的系統上是ok的，但換一個系統就不一定了。
你所說的匯編邏輯只是在win32+x86+VC上建立的。

template<int T>
int smstrlen(char*p)
{
if(p[T]==0)
return T;
return smstrlen<T+1>(p);
}
template<>
int smstrlen<500>(char*p)
{
if(p[500]==0)
return 500;
return -1;
}

強烈懷疑你同學修改了main(）的參數內存

template<int T>
int smstrlen(char*p)
{
if(p[T]==0)
return T;
return smstrlen<T+1>(p);
}

想到這種方法很不錯！我沒有想到。
不過這種方法只是把遞歸的邏輯改成了模板實現，并且需要
template<>
int smstrlen<500>(char*p)
{
if(p[500]==0)
return 500;
return -1;
}
這個特化的模板來結束編譯器的遞歸推導過程。

此種解法的思想很好，不過此種方法存在的限制比遞歸還嚴重（需要特化，而這種特化太大了不好，太小了又可能出現問題）。


一下是使用尾遞歸的一種實現：
int MyStelen(char *str, int size = 0)
{
return (*str++ == '\0') ? size : MyStelen(str, size + 1);
}

這種尾遞歸，不存在stack over flow的問題。不過沒有多大實際意義，僅僅具有學術討論價值，還是使用循環的方式比較好。

0x20解釋：
（int*)&p 表示是一個指針，指針的在32在系統是占4個字節，sizeof(int)*2 = 8; 減8表示表示往回退8個指針，也就是8*4=32=0x20。這個就是T a[size]中，a+n 是表示(&(a[0])) + sizeof(T)*n

@shaker(太子)
是啊，以前學習的太雜，現在不想一直浮在水面上，想專一寫，所以，只學習了您說的這個平臺，對于別的環境不了解，嘿嘿

@路人甲
謝謝你的教誨，受教了，嘿嘿

申請棧內存的操作時 sub esp, xx
文中拿到的內存雖然也是在那個位置，但是 esp 未變化，這并不能算合法申請內存，而是在用不屬于自己的內存

@溪流
恩，有道理，我沒有考慮過這個，是我的疏忽，嘿嘿……

如果大家對內存中的棧空間(stack)有足夠的了解的話，這道題就變的容易的多了。

首先bz給的答案是對的。
原理就是利用棧空間中的一個空閑位置來存儲我們的計算數據。
實際上就是把這個空閑位置當成一個臨時的存儲空間來用。
比如，你可以寫的更簡單一些。
int mystrlen(char *string)
{
*(long *)(&string - sizeof(char *) - 4) = (long)string;
while(*string++);

return ((long)string - *(long *)(&string - sizeof(char *) - 4) - 1);
}
寫法雖然不同，但原理都是完全一樣的。

>>>>這里跟我預期想的減兩個int大小有點出入，為什么減的是0x20？
這有兩個原因：
1。 棧空間永遠是從高地址向低地址的方向發展的
2。 編譯器至少給當前函數分配20h(32)個字節的棧空間，即使該函數里沒有一個局部變量

所以，ESP（棧頂指針）會向下減去20h個字節。這樣，這32個字節是給當前函數使用的，在bz的例子中，因為函數里沒有一個局部變量，所以，這32個字節都是可以任意讀寫訪問的。

只要您找到這個空閑空間的地址，你當然就可以往里面寫入自己的數據嘍。

只要明白上面的事情，代碼就容易編寫了。
&string 就是 形參string在棧空間中的地址，把這個地址減去一個sizeof(char *),這是因為，形參string下面放的是函數的返回地址(不是返回值哦)，它是不能被修改的，否則就會被hack了。然后再減去4個字節，這個就是該函數的第一個空閑位置的地址了。

其實，了解棧的朋友都知道，當前正在被執行的函數永遠是處于棧頂的位置，所以棧頂下面的空間都是沒有人使用的，只要您不超過棧空間的范圍(棧空間大小的默認值好像是8MB,不過一般的編譯器都能設置這個值)，你就可以訪問這里面的任何一個地址。如果你像下面那么寫，也沒有任何問題，編譯器也不會有任何抱怨，也能得到正確的值：
int mystrlen(char *string)
{
*(long *)(&string - sizeof(char *) - 400) = (long)string;
while(*string++);

return ((long)string - *(long *)(&string - sizeof(char *) - 400) - 1);
}
不過，你得注意的是減去的這個值必須是地址寬度(4個字節)的整數倍。

以上是俺的一點拙見，歡迎探討。

另外，糾正一下樓上幾位朋友的小錯誤。
棧空間里任何地址和內存都是靜態的，所以對于當前進程來說，他們都是可讀寫的，不存在非法訪問，所以才會出現緩沖區溢出的漏洞，會被那些hacker抓住，奪取系統的管理權限；
而堆里的內存如果在沒有被分配出來的情況下，才會出現非放訪問。如果您了解進程空間的布局，您就不會犯這個錯誤了。

這個好暴力~~~

其實它只是利用棧頂的空間去“偷偷”使用棧頂的空間，是“相對安全的”，根據cpu體系而定，棧是向（esp減小）方向增長的。所以減去多少的關鍵是必須保證這個變量的位置在“安全區域”，當然減的越大越安全（在沒有stack overflow的前提下）；因為參數上面可能是調用函數指令的下一條指令的地址，還有一些寄存器的值，這里int類型的指針減8，相當于在參數基礎上向上跨越32個字節；所以如果你減的太少，可能會訪問到棧內數據，那就是非法訪問。如果減的很多，就會處于“棧外”，那樣就是安全的。

另外我還覺得前面網友的回復中：
“棧空間里任何地址和內存都是靜態的，所以對于當前進程來說，他們都是可讀寫的，不存在非法訪問，。。。：”
這句話值得商榷。
棧是屬于線程的，而不是屬于“進程”。即每個線程有自己獨立的棧，在創建線程使可以制定棧的大小，根據MSDN說法如果不制定由系統默認為1MB，受虛擬內存限制所以這種情況下最多可以創建大約2028線程（可以減小棧的大小來創建更多） 。

所以每個線程有自己獨立的棧；這樣在多線程編程的時候尤其需要注意，不能把線程的棧上地址用于線程間通訊。例如線程A把它的棧上的地址通信給線程B，如果這時候線程A已經自然退出，就會發生非法內存訪問。切記。