哈哈哈

額，無(wú)語(yǔ)了

空間看見愛是空間的即可撒

我覺得
int StrLen(char *pszString)
{
return printf("%s",pszString);
}
不算犯規(guī)吧=。=
不想輸出的話就用sprintf

@chaoswork
嘿嘿，開始還看錯(cuò)了，試了下沒想到printf真的有返回值呢~
http://www.geekinterview.com/kb/printf-Function-Return-Value.html

不過(guò)題目“可以利用的資源只有那個(gè)參數(shù)”，printf應(yīng)該不能用把

那個(gè)if的，好像不錯(cuò)！

第二的答案太shit了。。。會(huì)crack掉的。

最后出題人給出的算是答案嗎？！
假如給定的字符串有1億個(gè)字符，那么是否需要寫1億個(gè)if？
盼給出解釋。
第二個(gè)答案根本就是訪問(wèn)非法內(nèi)存。

@chaoswork
我自己遞歸的函數(shù)都算違規(guī)，調(diào)用庫(kù)函數(shù)也是一樣違規(guī)的……

@空明流轉(zhuǎn)
@OnTheWay
我在原文后給出追加解釋，希望我理解的沒有什么問(wèn)題……

訪問(wèn)非法內(nèi)存的意思是：訪問(wèn)了你沒有權(quán)限操作的內(nèi)存，或者說(shuō)是你不應(yīng)該操作的內(nèi)存。
(int *)&p - sizeof(int) * 2 ，這句代碼就是訪問(wèn)了不應(yīng)該訪問(wèn)的內(nèi)存 ，雖然是 - sizeof(int) * 2。
這種操作是依據(jù)于實(shí)現(xiàn)的，是危險(xiǎn)的操作，當(dāng)然了訪問(wèn)非法內(nèi)存并一定會(huì)死機(jī)。

@OnTheWay
我感覺C支持嵌匯編，而這種用法符合匯編邏輯，我感覺是沒問(wèn)題的不危險(xiǎn)，而且一定不會(huì)死機(jī)的，或許是我剛開始學(xué)，理解不深入吧……
倘若這位兄臺(tái)有心，可否教授一二……

這種操作是依據(jù)于實(shí)現(xiàn)的，具體的平臺(tái)和編譯器會(huì)有不同的實(shí)現(xiàn)！
也許目前在你的系統(tǒng)上是ok的，但換一個(gè)系統(tǒng)就不一定了。
你所說(shuō)的匯編邏輯只是在win32+x86+VC上建立的。

template<int T>
int smstrlen(char*p)
{
if(p[T]==0)
return T;
return smstrlen<T+1>(p);
}
template<>
int smstrlen<500>(char*p)
{
if(p[500]==0)
return 500;
return -1;
}

強(qiáng)烈懷疑你同學(xué)修改了main(）的參數(shù)內(nèi)存

template<int T>
int smstrlen(char*p)
{
if(p[T]==0)
return T;
return smstrlen<T+1>(p);
}

想到這種方法很不錯(cuò)！我沒有想到。
不過(guò)這種方法只是把遞歸的邏輯改成了模板實(shí)現(xiàn)，并且需要
template<>
int smstrlen<500>(char*p)
{
if(p[500]==0)
return 500;
return -1;
}
這個(gè)特化的模板來(lái)結(jié)束編譯器的遞歸推導(dǎo)過(guò)程。

此種解法的思想很好，不過(guò)此種方法存在的限制比遞歸還嚴(yán)重（需要特化，而這種特化太大了不好，太小了又可能出現(xiàn)問(wèn)題）。


一下是使用尾遞歸的一種實(shí)現(xiàn)：
int MyStelen(char *str, int size = 0)
{
return (*str++ == '\0') ? size : MyStelen(str, size + 1);
}

這種尾遞歸，不存在stack over flow的問(wèn)題。不過(guò)沒有多大實(shí)際意義，僅僅具有學(xué)術(shù)討論價(jià)值，還是使用循環(huán)的方式比較好。

0x20解釋：
（int*)&p 表示是一個(gè)指針，指針的在32在系統(tǒng)是占4個(gè)字節(jié)，sizeof(int)*2 = 8; 減8表示表示往回退8個(gè)指針，也就是8*4=32=0x20。這個(gè)就是T a[size]中，a+n 是表示(&(a[0])) + sizeof(T)*n

@shaker(太子)
是啊，以前學(xué)習(xí)的太雜，現(xiàn)在不想一直浮在水面上，想專一寫，所以，只學(xué)習(xí)了您說(shuō)的這個(gè)平臺(tái)，對(duì)于別的環(huán)境不了解，嘿嘿

@路人甲
謝謝你的教誨，受教了，嘿嘿

申請(qǐng)棧內(nèi)存的操作時(shí) sub esp, xx
文中拿到的內(nèi)存雖然也是在那個(gè)位置，但是 esp 未變化，這并不能算合法申請(qǐng)內(nèi)存，而是在用不屬于自己的內(nèi)存

@溪流
恩，有道理，我沒有考慮過(guò)這個(gè)，是我的疏忽，嘿嘿……

如果大家對(duì)內(nèi)存中的棧空間(stack)有足夠的了解的話，這道題就變的容易的多了。

首先bz給的答案是對(duì)的。
原理就是利用棧空間中的一個(gè)空閑位置來(lái)存儲(chǔ)我們的計(jì)算數(shù)據(jù)。
實(shí)際上就是把這個(gè)空閑位置當(dāng)成一個(gè)臨時(shí)的存儲(chǔ)空間來(lái)用。
比如，你可以寫的更簡(jiǎn)單一些。
int mystrlen(char *string)
{
*(long *)(&string - sizeof(char *) - 4) = (long)string;
while(*string++);

return ((long)string - *(long *)(&string - sizeof(char *) - 4) - 1);
}
寫法雖然不同，但原理都是完全一樣的。

>>>>這里跟我預(yù)期想的減兩個(gè)int大小有點(diǎn)出入，為什么減的是0x20？
這有兩個(gè)原因：
1。 棧空間永遠(yuǎn)是從高地址向低地址的方向發(fā)展的
2。 編譯器至少給當(dāng)前函數(shù)分配20h(32)個(gè)字節(jié)的棧空間，即使該函數(shù)里沒有一個(gè)局部變量

所以，ESP（棧頂指針）會(huì)向下減去20h個(gè)字節(jié)。這樣，這32個(gè)字節(jié)是給當(dāng)前函數(shù)使用的，在bz的例子中，因?yàn)楹瘮?shù)里沒有一個(gè)局部變量，所以，這32個(gè)字節(jié)都是可以任意讀寫訪問(wèn)的。

只要您找到這個(gè)空閑空間的地址，你當(dāng)然就可以往里面寫入自己的數(shù)據(jù)嘍。

只要明白上面的事情，代碼就容易編寫了。
&string 就是 形參string在棧空間中的地址，把這個(gè)地址減去一個(gè)sizeof(char *),這是因?yàn)椋螀tring下面放的是函數(shù)的返回地址(不是返回值哦)，它是不能被修改的，否則就會(huì)被hack了。然后再減去4個(gè)字節(jié)，這個(gè)就是該函數(shù)的第一個(gè)空閑位置的地址了。

其實(shí)，了解棧的朋友都知道，當(dāng)前正在被執(zhí)行的函數(shù)永遠(yuǎn)是處于棧頂?shù)奈恢茫詶ｍ斚旅娴目臻g都是沒有人使用的，只要您不超過(guò)棧空間的范圍(棧空間大小的默認(rèn)值好像是8MB,不過(guò)一般的編譯器都能設(shè)置這個(gè)值)，你就可以訪問(wèn)這里面的任何一個(gè)地址。如果你像下面那么寫，也沒有任何問(wèn)題，編譯器也不會(huì)有任何抱怨，也能得到正確的值：
int mystrlen(char *string)
{
*(long *)(&string - sizeof(char *) - 400) = (long)string;
while(*string++);

return ((long)string - *(long *)(&string - sizeof(char *) - 400) - 1);
}
不過(guò)，你得注意的是減去的這個(gè)值必須是地址寬度(4個(gè)字節(jié))的整數(shù)倍。

以上是俺的一點(diǎn)拙見，歡迎探討。

另外，糾正一下樓上幾位朋友的小錯(cuò)誤。
棧空間里任何地址和內(nèi)存都是靜態(tài)的，所以對(duì)于當(dāng)前進(jìn)程來(lái)說(shuō)，他們都是可讀寫的，不存在非法訪問(wèn)，所以才會(huì)出現(xiàn)緩沖區(qū)溢出的漏洞，會(huì)被那些hacker抓住，奪取系統(tǒng)的管理權(quán)限；
而堆里的內(nèi)存如果在沒有被分配出來(lái)的情況下，才會(huì)出現(xiàn)非放訪問(wèn)。如果您了解進(jìn)程空間的布局，您就不會(huì)犯這個(gè)錯(cuò)誤了。

這個(gè)好暴力~~~

其實(shí)它只是利用棧頂?shù)目臻g去“偷偷”使用棧頂?shù)目臻g，是“相對(duì)安全的”，根據(jù)cpu體系而定，棧是向（esp減小）方向增長(zhǎng)的。所以減去多少的關(guān)鍵是必須保證這個(gè)變量的位置在“安全區(qū)域”，當(dāng)然減的越大越安全（在沒有stack overflow的前提下）；因?yàn)閰?shù)上面可能是調(diào)用函數(shù)指令的下一條指令的地址，還有一些寄存器的值，這里int類型的指針減8，相當(dāng)于在參數(shù)基礎(chǔ)上向上跨越32個(gè)字節(jié)；所以如果你減的太少，可能會(huì)訪問(wèn)到棧內(nèi)數(shù)據(jù)，那就是非法訪問(wèn)。如果減的很多，就會(huì)處于“棧外”，那樣就是安全的。

另外我還覺得前面網(wǎng)友的回復(fù)中：
“棧空間里任何地址和內(nèi)存都是靜態(tài)的，所以對(duì)于當(dāng)前進(jìn)程來(lái)說(shuō)，他們都是可讀寫的，不存在非法訪問(wèn)，。。。：”
這句話值得商榷。
棧是屬于線程的，而不是屬于“進(jìn)程”。即每個(gè)線程有自己獨(dú)立的棧，在創(chuàng)建線程使可以制定棧的大小，根據(jù)MSDN說(shuō)法如果不制定由系統(tǒng)默認(rèn)為1MB，受虛擬內(nèi)存限制所以這種情況下最多可以創(chuàng)建大約2028線程（可以減小棧的大小來(lái)創(chuàng)建更多） 。

所以每個(gè)線程有自己獨(dú)立的棧；這樣在多線程編程的時(shí)候尤其需要注意，不能把線程的棧上地址用于線程間通訊。例如線程A把它的棧上的地址通信給線程B，如果這時(shí)候線程A已經(jīng)自然退出，就會(huì)發(fā)生非法內(nèi)存訪問(wèn)。切記。