聚星亭

哈哈哈

額，無語了

空間看見愛是空間的即可撒

我覺得
int StrLen(char *pszString)
{
return printf("%s",pszString);
}
不算犯規(guī)吧=。=
不想輸出的話就用sprintf

@chaoswork
嘿嘿，開始還看錯了，試了下沒想到printf真的有返回值呢~
http://www.geekinterview.com/kb/printf-Function-Return-Value.html

不過題目“可以利用的資源只有那個參數(shù)”，printf應(yīng)該不能用把

那個if的，好像不錯！

第二的答案太shit了。。。會crack掉的。

最后出題人給出的算是答案嗎？！
假如給定的字符串有1億個字符，那么是否需要寫1億個if？
盼給出解釋。
第二個答案根本就是訪問非法內(nèi)存。

@chaoswork
我自己遞歸的函數(shù)都算違規(guī)，調(diào)用庫函數(shù)也是一樣違規(guī)的……

@空明流轉(zhuǎn)
@OnTheWay
我在原文后給出追加解釋，希望我理解的沒有什么問題……

訪問非法內(nèi)存的意思是：訪問了你沒有權(quán)限操作的內(nèi)存，或者說是你不應(yīng)該操作的內(nèi)存。
(int *)&p - sizeof(int) * 2 ，這句代碼就是訪問了不應(yīng)該訪問的內(nèi)存 ，雖然是 - sizeof(int) * 2。
這種操作是依據(jù)于實現(xiàn)的，是危險的操作，當(dāng)然了訪問非法內(nèi)存并一定會死機。

@OnTheWay
我感覺C支持嵌匯編，而這種用法符合匯編邏輯，我感覺是沒問題的不危險，而且一定不會死機的，或許是我剛開始學(xué)，理解不深入吧……
倘若這位兄臺有心，可否教授一二……

這種操作是依據(jù)于實現(xiàn)的，具體的平臺和編譯器會有不同的實現(xiàn)！
也許目前在你的系統(tǒng)上是ok的，但換一個系統(tǒng)就不一定了。
你所說的匯編邏輯只是在win32+x86+VC上建立的。

template<int T>
int smstrlen(char*p)
{
if(p[T]==0)
return T;
return smstrlen<T+1>(p);
}
template<>
int smstrlen<500>(char*p)
{
if(p[500]==0)
return 500;
return -1;
}

強烈懷疑你同學(xué)修改了main(）的參數(shù)內(nèi)存

template<int T>
int smstrlen(char*p)
{
if(p[T]==0)
return T;
return smstrlen<T+1>(p);
}

想到這種方法很不錯！我沒有想到。
不過這種方法只是把遞歸的邏輯改成了模板實現(xiàn)，并且需要
template<>
int smstrlen<500>(char*p)
{
if(p[500]==0)
return 500;
return -1;
}
這個特化的模板來結(jié)束編譯器的遞歸推導(dǎo)過程。

此種解法的思想很好，不過此種方法存在的限制比遞歸還嚴(yán)重（需要特化，而這種特化太大了不好，太小了又可能出現(xiàn)問題）。


一下是使用尾遞歸的一種實現(xiàn)：
int MyStelen(char *str, int size = 0)
{
return (*str++ == '\0') ? size : MyStelen(str, size + 1);
}

這種尾遞歸，不存在stack over flow的問題。不過沒有多大實際意義，僅僅具有學(xué)術(shù)討論價值，還是使用循環(huán)的方式比較好。

0x20解釋：
（int*)&p 表示是一個指針，指針的在32在系統(tǒng)是占4個字節(jié)，sizeof(int)*2 = 8; 減8表示表示往回退8個指針，也就是8*4=32=0x20。這個就是T a[size]中，a+n 是表示(&(a[0])) + sizeof(T)*n

@shaker(太子)
是啊，以前學(xué)習(xí)的太雜，現(xiàn)在不想一直浮在水面上，想專一寫，所以，只學(xué)習(xí)了您說的這個平臺，對于別的環(huán)境不了解，嘿嘿

@路人甲
謝謝你的教誨，受教了，嘿嘿

申請棧內(nèi)存的操作時 sub esp, xx
文中拿到的內(nèi)存雖然也是在那個位置，但是 esp 未變化，這并不能算合法申請內(nèi)存，而是在用不屬于自己的內(nèi)存

@溪流
恩，有道理，我沒有考慮過這個，是我的疏忽，嘿嘿……

如果大家對內(nèi)存中的棧空間(stack)有足夠的了解的話，這道題就變的容易的多了。

首先bz給的答案是對的。
原理就是利用棧空間中的一個空閑位置來存儲我們的計算數(shù)據(jù)。
實際上就是把這個空閑位置當(dāng)成一個臨時的存儲空間來用。
比如，你可以寫的更簡單一些。
int mystrlen(char *string)
{
*(long *)(&string - sizeof(char *) - 4) = (long)string;
while(*string++);

return ((long)string - *(long *)(&string - sizeof(char *) - 4) - 1);
}
寫法雖然不同，但原理都是完全一樣的。

>>>>這里跟我預(yù)期想的減兩個int大小有點出入，為什么減的是0x20？
這有兩個原因：
1。 棧空間永遠(yuǎn)是從高地址向低地址的方向發(fā)展的
2。 編譯器至少給當(dāng)前函數(shù)分配20h(32)個字節(jié)的棧空間，即使該函數(shù)里沒有一個局部變量

所以，ESP（棧頂指針）會向下減去20h個字節(jié)。這樣，這32個字節(jié)是給當(dāng)前函數(shù)使用的，在bz的例子中，因為函數(shù)里沒有一個局部變量，所以，這32個字節(jié)都是可以任意讀寫訪問的。

只要您找到這個空閑空間的地址，你當(dāng)然就可以往里面寫入自己的數(shù)據(jù)嘍。

只要明白上面的事情，代碼就容易編寫了。
&string 就是 形參string在棧空間中的地址，把這個地址減去一個sizeof(char *),這是因為，形參string下面放的是函數(shù)的返回地址(不是返回值哦)，它是不能被修改的，否則就會被hack了。然后再減去4個字節(jié)，這個就是該函數(shù)的第一個空閑位置的地址了。

其實，了解棧的朋友都知道，當(dāng)前正在被執(zhí)行的函數(shù)永遠(yuǎn)是處于棧頂?shù)奈恢茫詶ｍ斚旅娴目臻g都是沒有人使用的，只要您不超過棧空間的范圍(棧空間大小的默認(rèn)值好像是8MB,不過一般的編譯器都能設(shè)置這個值)，你就可以訪問這里面的任何一個地址。如果你像下面那么寫，也沒有任何問題，編譯器也不會有任何抱怨，也能得到正確的值：
int mystrlen(char *string)
{
*(long *)(&string - sizeof(char *) - 400) = (long)string;
while(*string++);

return ((long)string - *(long *)(&string - sizeof(char *) - 400) - 1);
}
不過，你得注意的是減去的這個值必須是地址寬度(4個字節(jié))的整數(shù)倍。

以上是俺的一點拙見，歡迎探討。

另外，糾正一下樓上幾位朋友的小錯誤。
棧空間里任何地址和內(nèi)存都是靜態(tài)的，所以對于當(dāng)前進(jìn)程來說，他們都是可讀寫的，不存在非法訪問，所以才會出現(xiàn)緩沖區(qū)溢出的漏洞，會被那些hacker抓住，奪取系統(tǒng)的管理權(quán)限；
而堆里的內(nèi)存如果在沒有被分配出來的情況下，才會出現(xiàn)非放訪問。如果您了解進(jìn)程空間的布局，您就不會犯這個錯誤了。

這個好暴力~~~

其實它只是利用棧頂?shù)目臻g去“偷偷”使用棧頂?shù)目臻g，是“相對安全的”，根據(jù)cpu體系而定，棧是向（esp減小）方向增長的。所以減去多少的關(guān)鍵是必須保證這個變量的位置在“安全區(qū)域”，當(dāng)然減的越大越安全（在沒有stack overflow的前提下）；因為參數(shù)上面可能是調(diào)用函數(shù)指令的下一條指令的地址，還有一些寄存器的值，這里int類型的指針減8，相當(dāng)于在參數(shù)基礎(chǔ)上向上跨越32個字節(jié)；所以如果你減的太少，可能會訪問到棧內(nèi)數(shù)據(jù)，那就是非法訪問。如果減的很多，就會處于“棧外”，那樣就是安全的。

另外我還覺得前面網(wǎng)友的回復(fù)中：
“棧空間里任何地址和內(nèi)存都是靜態(tài)的，所以對于當(dāng)前進(jìn)程來說，他們都是可讀寫的，不存在非法訪問，。。。：”
這句話值得商榷。
棧是屬于線程的，而不是屬于“進(jìn)程”。即每個線程有自己獨立的棧，在創(chuàng)建線程使可以制定棧的大小，根據(jù)MSDN說法如果不制定由系統(tǒng)默認(rèn)為1MB，受虛擬內(nèi)存限制所以這種情況下最多可以創(chuàng)建大約2028線程（可以減小棧的大小來創(chuàng)建更多） 。

所以每個線程有自己獨立的棧；這樣在多線程編程的時候尤其需要注意，不能把線程的棧上地址用于線程間通訊。例如線程A把它的棧上的地址通信給線程B，如果這時候線程A已經(jīng)自然退出，就會發(fā)生非法內(nèi)存訪問。切記。