glxhyt

http://www.who1753.com/100-bugs-in-c-cpp-opensource-projects/

俄羅斯OOO Program Verification Systems公司用自己的靜態(tài)源碼分析產(chǎn)品PVS-Studio對(duì)一些知名的C/C++開源項(xiàng)目，諸如Apache Http Server、Chromium、Clang、CMake、MySQL等的源碼進(jìn)行了分析，找出了100個(gè)典型的Bugs。個(gè)人覺得這份列表對(duì)C/C++ 程序員有一定參考意義。與其說事后用靜態(tài)工具分析，倒不如在編碼時(shí)就提高自知自覺，避免這份列表上的錯(cuò)誤發(fā)生在你的代碼中，因此這里將部分摘錄一些Bugs（Bug編號(hào)這里不連續(xù)，為的是對(duì)應(yīng)原文的編號(hào)）并做簡(jiǎn)要說明。原文將這份Bug列表分為了幾類，這里也將沿用這個(gè)思路。

一、數(shù)組和字符串處理錯(cuò)誤

數(shù)組和字符串處理錯(cuò)誤是C/C++程序中最多的一類缺陷類型。這也可以看作是我們?yōu)閾碛懈咝У氐讓觾?nèi)存操作能力而付出的代價(jià)。

[#1] Wolfenstein 3D項(xiàng)目 -"只有部分對(duì)象被clear了"

這里的Bug出現(xiàn)在memset那一行。代碼的真實(shí)意圖是clear iteminfo這塊內(nèi)存，但調(diào)用memset時(shí)，第三個(gè)參數(shù)傳入的卻是sizeof(&iteminfo)，要知道 sizeof(&itemInfo) != sizeof(itemInfo_t)，前者只是一個(gè)指針的大小罷了。正確的寫法是：

memset(itemInfo, 0, sizeof(itemInfo_t)); 或memset(itemInfo, 0, sizeof(*itemInfo));

[#2] Wolfenstein 3D項(xiàng)目 -"只有部分Matrix被clear了"

ID_INLINE mat3_t::mat3_t( float src[ 3 ][ 3 ] ) {
memcpy( mat, src, sizeof( src ) );
}

這里的Bug出現(xiàn)在memcpy一行。程序的原意是將clear src[3][3]這個(gè)二維數(shù)組。但這里有個(gè)坑：那就是作為函數(shù)形式參數(shù)的數(shù)組名已經(jīng)退化為指針了，對(duì)其sizeof只能得到一個(gè)指針的長(zhǎng)度，因此這里的 memcpy只是copy了一個(gè)指針的長(zhǎng)度，沒有copy全。這里的代碼是C++代碼，原文中給出了正確的改正方法 – 傳reference：

ID_INLINE mat3_t::mat3_t( float (&src)[3][3] )
{
memcpy( mat, src, sizeof( src ) );
}

[#4] ReactOS項(xiàng)目 – "錯(cuò)誤地計(jì)算一個(gè)字符串的長(zhǎng)度"

static const PCHAR Nv11Board = "NV11 (GeForce2) Board";
static const PCHAR Nv11Chip = "Chip Rev B2";
static const PCHAR Nv11Vendor = "NVidia Corporation";

BOOLEAN
IsVesaBiosOk(…)
{
…
if (!(strncmp(Vendor, Nv11Vendor, sizeof(Nv11Vendor))) &&
!(strncmp(Product, Nv11Board, sizeof(Nv11Board))) &&
!(strncmp(Revision, Nv11Chip, sizeof(Nv11Chip))) &&
(OemRevision == 0×311))
…
}

Bug處在IsVesaBiosOK中那一串strncmp調(diào)用中，代碼將一個(gè)指針的size傳入strncmp作為第三個(gè)參數(shù)，導(dǎo)致 strncmp實(shí)際只是比較了字符串的前4 or 8個(gè)字節(jié)，而不是字符串的全部?jī)?nèi)容。

[#6] CPU Identifying Tool項(xiàng)目 – 數(shù)組越界

#define FINDBUFFLEN 64  // Max buffer find/replace size
…
int WINAPI Sticky (…)
{
…
static char findWhat[FINDBUFFLEN] = {'\0'};
…
findWhat[FINDBUFFLEN] = '\0';
…
}

bug出在"findWhat[FINDBUFFLEN] = ‘\0′;”這一行。數(shù)組的最大長(zhǎng)度為FINDBUFFLEN，但下標(biāo)的最大值應(yīng)該是FINDBUFFLEN-1，而不是FINDBUFFLEN。因此這 行代碼顯然應(yīng)該改為findWhat[FINDBUFFLEN-1] = '\0';

[#7] Wolfenstein 3D項(xiàng)目 – 數(shù)組越界

typedef struct bot_state_s
{
…
char teamleader[32]; //netname of the team leader
…
}  bot_state_t;

void BotTeamAI( bot_state_t *bs ) {
…
bs->teamleader[sizeof( bs->teamleader )] = '\0';
…
}

"sizeof( bs->teamleader )]"這行的結(jié)果值已經(jīng)超出了數(shù)組的最大邊界，正確的代碼是：

bs->teamleader[
sizeof(bs->teamleader) / sizeof(bs->teamleader[0]) – 1
] = '\0';

[#8] Miranda IM項(xiàng)目 – 只Copy了部分字符串

struct _textrangew
{
CHARRANGE chrg;
LPWSTR lpstrText;
} TEXTRANGEW;

const wchar_t* Utils::extractURLFromRichEdit(…)
{
…
::CopyMemory(tr.lpstrText, L"mailto:", 7);
…
}

這里的bug在于L"mailto:"是寬字符串，寬字符串中的每個(gè)字符占2或4個(gè)字節(jié)（依Compiler使用的字符集編碼而定），因此這里只 copy 7個(gè)字節(jié)顯然是不夠的，應(yīng)該是7 * sizeof(wchar_t)。

[#9] CMake項(xiàng)目 – 循環(huán)內(nèi)的數(shù)組越界

static const struct {
DWORD   winerr;
int     doserr;
} doserrors[] =
{
…
};

static void
la_dosmaperr(unsigned long e)
{
…
for (i = 0; i < sizeof(doserrors); i++)
{
if (doserrors[i].winerr == e)
{
errno = doserrors[i].doserr;
return;
}
}
…
}

作者原本意圖la_dosmaperr中for循環(huán)的次數(shù)等于數(shù)組的元素個(gè)數(shù)，但sizeof(doserrors)返回的卻是數(shù)組占用的字節(jié)個(gè)數(shù)，這遠(yuǎn)遠(yuǎn)大于數(shù)組元素個(gè)數(shù)，因此造成數(shù)組越界。正確的寫法：

for (i = 0; i < sizeof(doserrors) / sizeof(*doserrors); i++)

[#10] CPU Identifying Tool項(xiàng)目 – 打印到自身的字符串

char * OSDetection ()
{
…
sprintf(szOperatingSystem,
"%sversion %d.%d %s (Build %d)",
szOperatingSystem,
osvi.dwMajorVersion,
osvi.dwMinorVersion,
osvi.szCSDVersion,
osvi.dwBuildNumber & 0xFFFF);
…
sprintf (szOperatingSystem, "%s%s(Build %d)",
szOperatingSystem, osvi.szCSDVersion,
osvi.dwBuildNumber & 0xFFFF);
…
}

通過sprintf，szOperatingSystem字符串將自己打印到自己里面，這是十分危險(xiǎn)的，將導(dǎo)致無法預(yù)知的錯(cuò)誤結(jié)果，可能會(huì)導(dǎo)致棧溢出等嚴(yán)重問題。

[#12] Notepad++項(xiàng)目 – 數(shù)組局部clear

#define CONT_MAP_MAX 50
int _iContMap[CONT_MAP_MAX];
…
DockingManager::DockingManager()
{
…
memset(_iContMap, -1, CONT_MAP_MAX);
…
}

代碼的原本試圖將數(shù)組_iContMap清零，但memset的第三個(gè)參數(shù)CONT_MAP_MAX并不能代表數(shù)組的真正大小，而只是數(shù)組的元素個(gè)數(shù)而已，顯然其忘記乘以sizeof(int)了。

二、未定義行為

在C/C++的語言規(guī)范中，我們常常能看到“xx is undefined”。規(guī)范中并沒有明確表明這類錯(cuò)誤是什么樣子的，只是說取決于Compiler的實(shí)現(xiàn)，也許Compiler會(huì)給出正確的結(jié)果，但這么使用卻是不可移植的。

[#1] Chromium項(xiàng)目 – 智能指針的誤用

void AccessibleContainsAccessible(…)
{
…
auto_ptr<VARIANT> child_array(new VARIANT[child_count]);
…
}

這里的問題在于使用new[]分配的內(nèi)存，在智能指針釋放時(shí)卻用了delete，這將會(huì)導(dǎo)致未定義行為。看看autoptr的destructor就知道了：

~auto_ptr() {
delete _Myptr;
}

我們可以找一些更合適的類來fix這個(gè)問題，比如boost::scopedarray。

[#2] IPP Sample項(xiàng)目 – 經(jīng)典未定義行為

template<typename T, Ipp32s size> void HadamardFwdFast(…)
{
Ipp32s *pTemp;
…
for(j=0;j<4;j++) {
a[0] = pTemp[0*4] + pTemp[1*4];
a[1] = pTemp[0*4] – pTemp[1*4];
a[2] = pTemp[2*4] + pTemp[3*4];
a[3] = pTemp[2*4] – pTemp[3*4];
pTemp = pTemp++;
…
}
…
}

很多人一眼就看到了"pTemp = pTemp++"這行，對(duì)于這個(gè)代碼編譯器會(huì)產(chǎn)生兩種結(jié)果截然不同的翻譯：

pTemp = pTemp + 1;
pTemp = pTemp;

或

TMP = pTemp;
pTemp = pTemp + 1;
pTemp = TMP;

到底是哪種呢？依賴于編譯器的實(shí)現(xiàn)，甚至是優(yōu)化級(jí)別的設(shè)定。

三、與運(yùn)算優(yōu)先級(jí)相關(guān)的錯(cuò)誤

[#1] MySQL工程 – !和&的運(yùn)算優(yōu)先級(jí)

int ha_innobase::create(…)
{
…
if (srv_file_per_table
&& !mysqld_embedded
&& (!create_info->options & HA_LEX_CREATE_TMP_TABLE)) {
…
}

這段代碼原意是想測(cè)試create_info->options變量中幾個(gè)bit位的值是否set了，即!(create_info->options & HA_LEX_CREATE_TMP_TABLE)，但由于!的運(yùn)算優(yōu)先級(jí)高于&，實(shí)際邏輯變成了(!create_info->options) & HA_LEX_CREATE_TMP_TABLE了。如果想要這段代碼如期工作，就不要吝嗇小括號(hào)了。

[#2] Emule工程 – *和++的運(yùn)算優(yōu)先級(jí)

STDMETHODIMP
CCustomAutoComplete::Next(…, ULONG *pceltFetched)
{
…
if (pceltFetched != NULL)
*pceltFetched++;
…
}

顯然作者原意是想對(duì)pceltFetched所指向的long型變量進(jìn)行++操作，但由于*和++的運(yùn)算優(yōu)先級(jí)沒有搞對(duì)，導(dǎo)致實(shí)際上執(zhí)行了*(pceltFetched++)的操作，而不是(*pceltFetched)++操作。

[#3] Chromium項(xiàng)目 – &和!=的運(yùn)算優(yōu)先級(jí)

#define FILE_ATTRIBUTE_DIRECTORY 0×00000010

bool GetPlatformFileInfo(PlatformFile file, PlatformFileInfo* info) {
…
info->is_directory =
file_info.dwFileAttributes & FILE_ATTRIBUTE_DIRECTORY != 0;
…
}

這個(gè)程序員的意圖是通過測(cè)試file_info.dwFileAttributes的幾個(gè)bit位的值來判定是否是目錄，邏輯上應(yīng)該是(file_info.dwFileAttributes & FILE_ATTRIBUTE_DIRECTORY) != 0，但由于!=優(yōu)先級(jí)高于&，原代碼中無括號(hào)，結(jié)果邏輯變成了file_info.dwFileAttributes & (FILE_ATTRIBUTE_DIRECTORY != 0)，導(dǎo)致is_directory將永遠(yuǎn)求值為true。

[#4] BCmenu項(xiàng)目 – if和else弄混

void BCMenu::InsertSpaces(void)
{
if(IsLunaMenuStyle())
if(!xp_space_accelerators) return;
else
if(!original_space_accelerators) return;
…
}

這又是C語言的一個(gè)“大坑”，無奈這個(gè)BCMenu項(xiàng)目的程序員掉坑里了。雖然從代碼縮進(jìn)上來看，else似乎是與最外層的if配對(duì)使用，但實(shí)際這段代碼的效果是：

if(IsLunaMenuStyle())
{
if(!xp_space_accelerators) {
return;
} else {
if(!original_space_accelerators) return;
}
}

這顯然不是程序員原意，看來括號(hào)必要時(shí)還是不能省略的。修改后的代碼如下：

if(IsLunaMenuStyle()) {
if(!xp_space_accelerators) return;
} else {
if(!original_space_accelerators) return;
}

四、格式化輸出錯(cuò)誤

[#1] ReactOS項(xiàng)目 – 錯(cuò)誤地輸出WCHAR字符

static void REGPROC_unescape_string(WCHAR* str)
{
…
default:
fprintf(stderr,
"Warning! Unrecognized escape sequence: \\%c'\n",
str[str_idx]);
…
}

%c是用來格式化輸出非寬字符的，這里用來輸出WCHAR顯然會(huì)得到錯(cuò)誤的結(jié)果，fix solution是將%c換位%C。

[#2] Intel AMT SDK項(xiàng)目 – 缺少%s 【VS2010，運(yùn)行可能會(huì)崩潰】

void addAttribute(…)
{
…
int index = _snprintf(temp, 1023,
"%02x%02x:%02x%02x:%02x%02x:%02x%02x:"
"%02x%02x:02x%02x:%02x%02x:%02x%02x",
value[0],value[1],value[2],value[3],value[4],
value[5],value[6],value[7],value[8],
value[9],value[10],value[11],value[12],
value[13],value[14],value[15]);
…
}

 

不解釋了，自己慢慢數(shù)和對(duì)照吧。

[#3] Intel AMT SDK項(xiàng)目 – 未使用的參數(shù)

bool GetUserValues(…)
{
…
printf("Error: illegal value. Aborting.\n", tmp);
return false;
}

顯然tmp是多余的。

五、書寫錯(cuò)誤

[#1] Miranda IM項(xiàng)目 – 在if中賦值

void CIcqProto::handleUserOffline(BYTE *buf, WORD wLen)
{
…
else if (wTLVType = 0×29 && wTLVLen == sizeof(DWORD))
…
}

“wTLVType = 0×29”顯然是筆誤，應(yīng)該是“wTLVType == 0×29”才對(duì)。

[#3] Clang項(xiàng)目 – 對(duì)象名書寫錯(cuò)誤

static Value *SimplifyICmpInst(…) {
…
case Instruction::Shl: {
bool NUW =
LBO->hasNoUnsignedWrap() && LBO->hasNoUnsignedWrap();
bool NSW =
LBO->hasNoSignedWrap() && RBO->hasNoSignedWrap();
…
}

從最后一行先后使用了LBO和RBO來看，前面只用了LBO的那行很可能是有問題的，正確的應(yīng)該是：

bool NUW =
LBO->hasNoUnsignedWrap() && RBO->hasNoUnsignedWrap();

[#6] G3D Content Pak項(xiàng)目 – 一對(duì)括號(hào)放錯(cuò)了地方

bool Matrix4::operator==(const Matrix4& other) const {
if (memcmp(this, &other, sizeof(Matrix4) == 0)) {
return true;
}
…
}

由于括號(hào)放錯(cuò)了地方，導(dǎo)致memcmp最后的參數(shù)變成了sizeof(Matrix4) == 0，這行代碼的正確寫法應(yīng)該是：

if (memcmp(this, &other, sizeof(Matrix4)) == 0) {

[#8] Apache Http Server項(xiàng)目 – 多余的sizeof

PSECURITY_ATTRIBUTES GetNullACL(void)
{
PSECURITY_ATTRIBUTES sa;
sa  = (PSECURITY_ATTRIBUTES)
LocalAlloc(LPTR, sizeof(SECURITY_ATTRIBUTES));
sa->nLength = sizeof(sizeof(SECURITY_ATTRIBUTES));
…
}

最后一行顯然是筆誤，sizeof(sizeof(SECURITY_ATTRIBUTES))應(yīng)該寫為sizeof(SECURITY_ATTRIBUTES)才對(duì)。

[#10] Notepad++項(xiàng)目 – 在本來應(yīng)該用&的地方使用了&&

TCHAR GetASCII(WPARAM wParam, LPARAM lParam)
{
…
result=ToAscii(wParam,
(lParam >> 16) && 0xff, keys,&dwReturnedValue,0);
…
}

(lParam >> 16) && 0xff沒有什么意義，求值結(jié)果總是true。這里的代碼應(yīng)該是(lParam >> 16) & 0xff。

[#12] Fennec Media Project項(xiàng)目 – 額外的分號(hào)

int settings_default(void)
{
…
for(i=0; i<16; i++);
for(j=0; j<32; j++)
{
settings.conversion.equalizer_bands.boost[i][j] = 0.0;
settings.conversion.equalizer_bands.preamp[i]   = 0.0;
}
}

這又是一個(gè)實(shí)際邏輯與代碼縮進(jìn)不符的例子。作者的原意是這樣的：

for(i=0; i<16; i++)
{
for(j=0; j<32; j++)
{
settings.conversion.equalizer_bands.boost[i][j] = 0.0;
settings.conversion.equalizer_bands.preamp[i]   = 0.0;
}
}

但實(shí)際執(zhí)行代碼邏輯卻是：

for(i=0; i<16; i++)
{
;
}

for(j=0; j<32; j++)
{
settings.conversion.equalizer_bands.boost[i][j] = 0.0;
settings.conversion.equalizer_bands.preamp[i]   = 0.0;
}

這一切都是那個(gè);導(dǎo)致的。

六、對(duì)基本函數(shù)和類的誤用

[#2] TortoiseSVN項(xiàng)目 – remove函數(shù)的誤用

STDMETHODIMP CShellExt::Initialize(….)
{
…
ignoredprops = UTF8ToWide(st.c_str());
// remove all escape chars ('\\')
std::remove(ignoredprops.begin(), ignoredprops.end(), '\\');
break;
…
}

作者意圖刪除所有'\\'，但他用錯(cuò)了函數(shù)，remove函數(shù)只是交換元素的位置，將要?jiǎng)h除的元素交換到尾部trash，并且返回指向trash首地址的iterator。正確的做法應(yīng)該是"v.erase(remove(v.begin(), v.end(), 2), v.end())"。

[#5] Pixie項(xiàng)目 – 在循環(huán)中使用alloca函數(shù)

inline  void  triangulatePolygon(…) {
…
for (i=1;i<nloops;i++) {
…
do {
…
do {
…
CTriVertex  *snVertex =
(CTriVertex *)alloca(2*sizeof(CTriVertex));
…
} while(dVertex != loops[0]);
…
} while(sVertex != loops[i]);
…
}
…
}

alloca函數(shù)在棧上分配內(nèi)存，因此在循環(huán)中使用alloca可能會(huì)很快導(dǎo)致棧溢出。

七、無意義的代碼

[#1] IPP Samples項(xiàng)目 – 不完整的條件

void lNormalizeVector_32f_P3IM(Ipp32f *vec[3],
Ipp32s* mask, Ipp32s len)
{
Ipp32s  i;
Ipp32f  norm;

for(i=0; i<len; i++) {
if(mask<0) continue;
norm = 1.0f/sqrt(vec[0][i]*vec[0][i]+
vec[1][i]*vec[1][i]+vec[2][i]*vec[2][i]);
vec[0][i] *= norm; vec[1][i] *= norm; vec[2][i] *= norm;
}
}

mask是Ipp32s類型指針，這樣if (mask< 0)這句代碼顯然沒啥意義，正確的代碼應(yīng)該是：

if (mask[i] < 0) continue;

[#2] QT項(xiàng)目 – 重復(fù)的檢查

Q3TextCustomItem* Q3TextDocument::parseTable(…)
{
…
while (end < length
&& !hasPrefix(doc, length, end, QLatin1String("</td"))
&& !hasPrefix(doc, length, end, QLatin1String("<td"))
&& !hasPrefix(doc, length, end, QLatin1String("</th"))
&& !hasPrefix(doc, length, end, QLatin1String("<th"))
&& !hasPrefix(doc, length, end, QLatin1String("<td"))
&& !hasPrefix(doc, length, end, QLatin1String("</tr"))
&& !hasPrefix(doc, length, end, QLatin1String("<tr"))
&& !hasPrefix(doc, length, end, QLatin1String("</table"))) {

…
}

這里對(duì)"<td"做了兩次check。

八、總是True或False的條件

[#1] Shareaza項(xiàng)目 – char類型的值范圍

void CRemote::Output(LPCTSTR pszName)
{

…
CHAR* pBytes = new CHAR[ nBytes ];
hFile.Read( pBytes, nBytes );
…
if ( nBytes > 3 && pBytes[0] == 0xEF &&
pBytes[1] == 0xBB && pBytes[2] == 0xBF )
{
pBytes += 3;
nBytes -= 3;
bBOM = true;
}
…
}

表達(dá)式"pBytes[0] == 0xEF"總是False。char類型的值范圍是-128~127 < 0xEF，因此這個(gè)表達(dá)式總是False，導(dǎo)致整個(gè)if condition總是為False，與預(yù)期邏輯不符。

[#3] VirtualDub項(xiàng)目 – 無符號(hào)類型總是>=0

typedef unsigned short wint_t;
…
void lexungetc(wint_t c) {
if (c < 0)
return;
g_backstack.push_back(c);
}

c是unsigned short類型，永遠(yuǎn)不會(huì)小于0,也就是說if (c < 0)永遠(yuǎn)為False。

[#8] MySQL項(xiàng)目 – 條件錯(cuò)誤

enum enum_mysql_timestamp_type
str_to_datetime(…)
{
…
else if (str[0] != ‘a’ || str[0] != 'A')
continue; /* Not AM/PM */
…
}

if (str[0] != ‘a’ || str[0] != 'A')這個(gè)條件永遠(yuǎn)為真。也許這塊本意是想用&&。

九、代碼漏洞

導(dǎo)致漏洞的代碼錯(cuò)誤實(shí)際上也都是筆誤、不正確的條件以及不正確的數(shù)組操作等。但這里還是想將一些特定錯(cuò)誤劃歸為一類，因?yàn)槿肭终呖梢岳眠@些錯(cuò)誤來攻擊你的代碼，獲取其利益。

[#1] Ultimate TCP/IP項(xiàng)目 – 空字符串的錯(cuò)誤檢查

char *CUT_CramMd5::GetClientResponse(LPCSTR ServerChallenge)
{
…
if (m_szPassword != NULL)
{
…
if (m_szPassword != '\0')
{
…
}

第二個(gè)if condition check意圖檢查m_szPassword是否為空字符串，但卻錯(cuò)誤的將指針與'\0'進(jìn)行比較，正確的代碼應(yīng)該是這樣的：

if (*m_szPassword != '\0')

[#2] Chromium項(xiàng)目 – NULL指針的處理

bool ChromeFrameNPAPI::Invoke(…)
{
ChromeFrameNPAPI* plugin_instance =
ChromeFrameInstanceFromNPObject(header);
if (!plugin_instance &&
(plugin_instance->automation_client_.get()))
return false;
…
}

一旦plugin_instance為NULL，!plugin_instance為True，代碼對(duì)&&后面的子條件求值，引用plugin_instance將導(dǎo)致程序崩潰。正確的做法應(yīng)該是：

if (plugin_instance &&
(plugin_instance->automation_client_.get()))
return false;

[#5] Apache httpd Server項(xiàng)目 – 不完整的緩沖區(qū)clear

#define MEMSET_BZERO(p,l)       memset((p), 0, (l))

void apr__SHA256_Final(…, SHA256_CTX* context) {
…
MEMSET_BZERO(context, sizeof(context));
…
}

這個(gè)錯(cuò)誤前面提到過，sizeof(context)只是指針的大小，將之改為sizeof(*context)就OK了。

[#7] PNG Library項(xiàng)目 – 意外的指針clear

png_size_t
png_check_keyword(png_structp png_ptr, png_charp key,
png_charpp new_key)
{
…
if (key_len > 79)
{
png_warning(png_ptr, "keyword length must be 1 – 79 characters");
new_key[79] = '\0';
key_len = 79;
}
…
}

new_key的類型為png_charpp，顧名思義，這是一個(gè)char**類型，但代碼中new_key[79] = ‘\0′這句顯然是要給某個(gè)char賦值，但new_key[n]得到的應(yīng)該是一個(gè)地址，給一個(gè)地址賦值為’\0′顯然是有誤的。正確的寫法應(yīng)該是(*new_key)[79] = '\0'。

[#10] Miranda IM項(xiàng)目 – 保護(hù)沒生效

void Append( PCXSTR pszSrc, int nLength )
{
…
UINT nOldLength = GetLength();
if (nOldLength < 0)
{
// protects from underflow
nOldLength = 0;
}
…
}

nOldLength椒UINT類型，其值永遠(yuǎn)不會(huì)小于0,因此if (nOldLength < 0)這行成了擺設(shè)。

[#12] Ultimate TCP/IP項(xiàng)目 – 不正確的循環(huán)結(jié)束條件

void CUT_StrMethods::RemoveSpaces(LPSTR szString) {
…
size_t loop, len = strlen(szString);
// Remove the trailing spaces
for(loop = (len-1); loop >= 0; loop–) {
if(szString[loop] != ' ')
break;
}
…
}

循環(huán)中的結(jié)束條件loop >= 0將永遠(yuǎn)為True，因?yàn)閘oop變量的類型是size_t是unsigned類型，永遠(yuǎn)不會(huì)小于0。

十、拷貝粘貼

和筆誤不同，程序員們決不因該低估拷貝粘貼問題，這類問題發(fā)生了太多。程序員們花費(fèi)了大量時(shí)間在這些問題的debug上。

[#1] Fennec Media Project項(xiàng)目 – 處理數(shù)組元素時(shí)出錯(cuò)

void* tag_write_setframe(char *tmem,
const char *tid, const string dstr)
{
…
if(lset)
{
fhead[11] = '\0';
fhead[12] = '\0';
fhead[13] = '\0';
fhead[13] = '\0';
}
…
}

 

咋看一下，fhead[13]做了兩次賦值，似乎沒啥問題。但仔細(xì)想一下，最后那行程序員的原意極可能是想寫fhead[14] = '\0'。問題就在這里了。

[#2] MySQL項(xiàng)目 – 處理數(shù)組元素時(shí)出錯(cuò)

static int rr_cmp(uchar *a,uchar *b)
{
if (a[0] != b[0])
return (int) a[0] – (int) b[0];
if (a[1] != b[1])
return (int) a[1] – (int) b[1];
if (a[2] != b[2])
return (int) a[2] – (int) b[2];
if (a[3] != b[3])
return (int) a[3] – (int) b[3];
if (a[4] != b[4])
return (int) a[4] – (int) b[4];
if (a[5] != b[5])
return (int) a[1] – (int) b[5];
if (a[6] != b[6])
return (int) a[6] – (int) b[6];
return (int) a[7] – (int) b[7];
}

 

編寫這類代碼時(shí)，我猜絕大多數(shù)人會(huì)選擇Copy-Paste，然后再逐行修改，問題就發(fā)生在修改過程中，上面的代碼中當(dāng)處理a[5] != b[5]時(shí)就忘記修改一個(gè)下標(biāo)了：return (int) a[1] – (int) b[5];顯然這里的正確代碼應(yīng)該是return (int) a[5] – (int) b[5]。

[#3] TortoiseSVN項(xiàng)目 文件名不正確

BOOL GetImageHlpVersion(DWORD &dwMS, DWORD &dwLS)
{
return(GetInMemoryFileVersion(("DBGHELP.DLL"),
dwMS,
dwLS)) ;
}

BOOL GetDbgHelpVersion(DWORD &dwMS, DWORD &dwLS)
{
return(GetInMemoryFileVersion(("DBGHELP.DLL"),
dwMS,
dwLS)) ;
}

GetImageHlpVersion和GetDbgHelpVersion都使用了"DBGHELP.DLL"文件，顯然GetImageHlpVersion寫錯(cuò)文件名了。應(yīng)該用"IMAGEHLP.DLL"就對(duì)了。

[#4] Clang項(xiàng)目 – 等同的函數(shù)體

MapTy PerPtrTopDown;
MapTy PerPtrBottomUp;

void clearBottomUpPointers() {
PerPtrTopDown.clear();
}

void clearTopDownPointers() {
PerPtrTopDown.clear();
}

我們看到雖然兩個(gè)函數(shù)名不同，但是函數(shù)體的內(nèi)容是相同的，顯然又是copy-paste惹的禍。做如下修改即可：

void clearBottomUpPointers() {
PerPtrBottomUp.clear();
}

 

十一、Null指針的校驗(yàn)遲了

這里的“遲了”的含義是先使用指針，然后再校驗(yàn)指針是否為NULL。

[#1] Quake-III-Arena項(xiàng)目 – 校驗(yàn)遲了

void Item_Paint(itemDef_t *item) {
vec4_t red;
menuDef_t *parent = (menuDef_t*)item->parent;
red[0] = red[3] = 1;
red[1] = red[2] = 0;
if (item == NULL) {
return;
}
…
}

 

在校驗(yàn)item是否為NULL前已經(jīng)使用過item了，一旦item真的為NULL，那程序必然崩潰。

十二、其他雜項(xiàng)

[#1] Image Processing 項(xiàng)目 – 八進(jìn)制數(shù)

inline
void elxLuminocity(const PixelRGBus& iPixel,
LuminanceCell< PixelRGBus >& oCell)
{
oCell._luminance = uint16(0.2220f*iPixel._red +
0.7067f*iPixel._blue + 0.0713f*iPixel._green);
oCell._pixel = iPixel;
}

inline
void elxLuminocity(const PixelRGBi& iPixel,
LuminanceCell< PixelRGBi >& oCell)
{
oCell._luminance = 2220*iPixel._red +
7067*iPixel._blue + 0713*iPixel._green;
oCell._pixel = iPixel;
}

第二個(gè)函數(shù)，程序員原意是使用713這個(gè)十進(jìn)制整數(shù)，但0713 != 713，在C中，0713是八進(jìn)制的表示法，Compiler會(huì)認(rèn)為這是個(gè)八進(jìn)制數(shù)。

[#2] IPP Sample工程 – 一個(gè)變量用于兩個(gè)loop中

JERRCODE CJPEGDecoder::DecodeScanBaselineNI(void)
{
…
for(c = 0; c < m_scan_ncomps; c++)
{
block = m_block_buffer + (DCTSIZE2*m_nblock*(j+(i*m_numxMCU)));

// skip any relevant components
for(c = 0; c < m_ccomp[m_curr_comp_no].m_comp_no; c++)
{
block += (DCTSIZE2*m_ccomp

[/c]

.m_nblocks);
}
…
}

變量c用在了兩個(gè)loop中，這會(huì)導(dǎo)致只有部分?jǐn)?shù)據(jù)被處理，或外部循環(huán)中止。

[#3] Notepad++項(xiàng)目 – 怪異的條件表達(dá)式

int Notepad_plus::getHtmlXmlEncoding(….) const
{
…
if (langT != L_XML && langT != L_HTML && langT == L_PHP)
return -1;
…
}

代碼中的那行if條件等價(jià)于 if (langT == L_PHP)，顯然似乎不是作者原意，猜測(cè)正確的代碼應(yīng)該是這樣的：

int Notepad_plus::getHtmlXmlEncoding(….) const
{
…
if (langT != L_XML && langT != L_HTML && langT != L_PHP)
return -1;
…
}