J & J - 정성태의 닷넷 이야기

사용자

메뉴

최근 덧글

[정성태] VT sequences to "CONOUT$" vs. STD_O...[정성태] NetCoreDbg is a managed code debugg...[정성태] Evaluating tail call elimination in...[정성태] What’s new in System.Text.Json in ....[정성태] What's new in .NET 9: Cryptography ...[정성태] 아... 제시해 주신 "https://akrzemi1.wordp...[정성태] 다시 질문을 정리할 필요가 있을 것 같습니다. 제가 본문에...[이승준] 완전히 잘못 짚었습니다. 댓글 지우고 싶네요. 검색을 해보...[정성태] 우선 답글 감사합니다. ^^ 그런데, 사실 저 예제는 (g...[이승준] 수정이 안되어서... byteArray는 BYTE* 타입입니다...

글쓰기

제목

이름

암호

전자우편

HTML

홈페이지

유형

내용

<div style='display: inline'>
<h1 style='font-family: Malgun Gothic, Consolas; font-size: 20pt; color: #006699; text-align: center; font-weight: bold'>strncpy 사용 시 주의 사항(Linux / Windows)</h1>

개인적으로 strncpy 함수를 strcpy의 안전한 함수 버전으로 사용하는 것을 선호합니다. 그런데, 동작 방식이 윈도우와 리눅스가 너무 달라서 정리해 봅니다. ^^ 
 
 <div style='font-size: 12pt; font-family: Malgun Gothic, Consolas; color: #2211AA; text-align: left; font-weight: bold'>Visual C++의 Secure CRT 함수 - _tcsncpy_s, wcsncpy_s, strncpy_s</div>
 
우선 윈도우에서는 secure 함수라고 4개의 인자를 받아 처리하는 함수가 제공됩니다. 공통적으로 _s 접미사가 붙는데 대략 다음과 같이 사용합니다. 
 
<pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' >
wchar_t buf[10];
wchar_t *p = L"is";

_tcsncpy_s(buf, 10, p, wcslen(p));

/*
buf[0] = 'i';
buf[1] = 's';
buf[2] = '\0'; // wcslen(p) == 2이고, 3번째 위치에 null 처리
*/
</pre>
 
안전성을 확보하기 위해 dst 버퍼의 크기도 지정해야 하고 src 측의 복사할 문자열 길이도 지정해야 합니다. 복사할 문자열 길이를 지정하는 방식이기 때문에 무조건 그 길이만큼을 복사하고 null 처리를 해준다는 특징이 있습니다. 
 
<pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' >
wchar_t buf[10];
wchar_t *p = L"is";

_tcsncpy_s(buf, 10, p, 1); // 1개의 문자를 복사하고 2번째 위치에 null 처리

/*
buf[0] = 'i';
buf[1] = '\0';
*/
</pre>
 
만약, dst 버퍼의 길이가 복사할 문자보다 부족하면 런타임 오류를 발생시킵니다. (이건 예전에 <a target='tab' href='http://www.sysnet.pe.kr/2/0/1622'>_vsnwprintf_s 함수 소개를 할 때도 언급</a>했습니다.) 
 
<pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' >
wchar_t buf[10];
wchar_t* p = L"is";

_tcsncpy_s(buf, 2, p, wcslen(p)); // 2글자 + null 처리를 해야 하지만, 대상 버퍼의 크기가 2이므로 예외 발생

/*
Debug Assertion Failed!

Program: C:\temp\ConsoleApplication1\Debug\ConsoleApplication1.exe
File: minkernel\crts\ucrt\inc\corecrt_internal_string_templates.h
Line: 218

Expression: (L"Buffer is too small" && 0)

For information on how your program can cause an assertion
failure, see the Visual C++ documentation on asserts.
*/
</pre>
 
디버그에서는 저런 식으로 호출해 예외적인 경우가 없는지 확인하는 것이 좋을 수 있습니다. 하지만 런타임에서는 대상 버퍼의 길이 내에서 안전하게 복사 처리를 하고 싶을 텐데 이럴 때는 다음과 같이 호출하면 됩니다. 
 
<pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' >
wchar_t buf[10];
wchar_t* p = L"is";

_tcsncpy_s(buf, 1, p, _TRUNCATE); // _TRUNCATE == -1

buf[0] = '\0'; // 대상 버퍼의 길이를 1로 지정했으므로 "0개의 문자 + null 처리"
</pre>
 
<hr style='width: 50%' /> 
 
 <div style='font-size: 12pt; font-family: Malgun Gothic, Consolas; color: #2211AA; text-align: left; font-weight: bold'>gcc의 libc 함수 - strncpy</div>
 
윈도우와는 달리 리눅스에서는 secure CRT 함수가 없습니다. 그래서 strncpy 함수는 (4개가 아닌) 3개의 인자만을 받게 되며 이 과정에서 오류를 내포하게 됩니다. 가령 윈도우처럼 다음과 같이 호출을 하면, 
 
<pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' >
// 우분투 18 + gcc 환경

char buf[10];
char* p = "is";

strncpy(buf, p, strlen(p)); // 2글자만 복사하고 null 처리는 하지 않음
printf(buf);

/*
buf[0] = 'i';
buf[1] = 's';
buf[2...] == garbage
*/
</pre>
 
정말로 "n"개의 글자만 복사하고 null 처리를 하지 않아 대상 버퍼를 다룰 때 조심해야 합니다. 만약 null 처리를 하고 싶다면 다음과 같이 +1을 하는 식으로 처리해야 합니다. 
 
<pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' >
char buf[10];
char* p = "is";

strncpy(buf, p, strlen(p) + 1);
printf(buf);

/*
buf[0] = 'i';
buf[1] = 's';
buf[2] = '\0';
*/
</pre>
 
사실, (리눅스의) strncpy는 +1을 하는 경우 null 처리를 해준다기보다는 지정된 문자열 길이보다 긴 숫자를 지정한 경우 무조건 나머지 영역을 null 처리를 해주는 방식입니다. 즉, 다음과 같이 지정하면 경우에 따라 필요 없는 2개의 버퍼가 더 null 처리가 됩니다. 
 
<pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' >
char buf[10];
char* p = "is";

strncpy(buf, p, 5); // p 문자열 길이는 2지만, 5를 지정했으므로 3개의 영역에 null 처리

/*
buf[0] = 'i';
buf[1] = 's';
buf[2] = '\0';
buf[3] = '\0';
buf[4] = '\0';
*/
</pre>
 
이러한 가벼운 성능 손실은 대부분의 경우 감수할만하지만 결정적으로 가장 큰 문제가 있습니다. 바로 대상 버퍼의 크기가 작을 경우입니다. 
 
<pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' >
char buf[2];
char* p = "is";

strncpy(buf, p, 5);

/*
buf[0] = 'i';
buf[1] = 's';
buf[2] = '\0'; // 메모리 침범
buf[3] = '\0'; // 메모리 침범
buf[4] = '\0'; // 메모리 침범
*/
</pre>
 
당연히 대상 버퍼의 크기에 대한 정보가 없으니 윈도우의 Secure CRT와는 달리 저렇게 버퍼 오버플로우 문제가 발생합니다. Release 빌드로 고객 PC에서 저런 식으로 실행됐을 경우, 프로그램 예외가 예측할 수 없게 발생하므로 꽤나 골치 아픈 문제가 발생할 여지가 있습니다. 
 
<hr style='width: 50%' /> 
 
이런 상이한 특징 때문에 다중 플랫폼을 지원하는 경우라면 strncpy의 경우 플랫폼에 따라 코드를 작성해야 합니다. 
 
<pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' >
#if defined(PLATFORM_UNIX)
	typedef char tchar;
#else
	typedef wchar_t tchar;
#endif

tchar buf[10];
tchar* p = "is";

#if defined(PLATFORM_UNIX)
	strncpy(buf, p, strlen(p) + 1);
#else
	_tcsncpy_s(buf, 10, p, _TRUNCATE);
#endif
</pre>
 
만약 저런 식으로 매번 처리하고 싶지 않다면 리눅스에서의 성능 저하를 약간 감수해 다음과 같이 통일할 수 있습니다. 
 
<pre style='margin: 10px 0px 10px 10px; padding: 10px 0px 10px 10px; background-color: #fbedbb; overflow: auto; font-family: Consolas, Verdana;' >
#if defined(PLATFORM_UNIX)
	typedef char tchar;
	#define _TRUNCATE (-1)
	#define _tcsncpy_s(__dest, __dest_len, __src, __src_len_not_used) strncpy(__dest, __src, __dest_len - 1); __dest[__dest_len - 1] = '\0';
#else
	typedef wchar_t tchar;
#endif

tchar buf[10];
tchar* p = "is";

_tcsncpy_s(buf, 10, p, _TRUNCATE);
// 윈도우 Unicode의 경우: wcsncpy_s(buf, 10, p, _TRUNCATE);
// 리눅스의 경우: strncpy(buf, p, 10 - 1); buf[10 - 1] = '\0';
</pre>
 
보는 바와 같이 대상 버퍼의 크기에 맞게 복사를 하므로 버퍼 오버플로우 없이 안전하게 사용할 수 있습니다. 물론, strcpy의 안전한 함수로써 strncpy를 사용하는 경우에만 저런 식으로 사용할 수 있습니다. null 처리를 하지 않는다는 특성으로 문자열을 중간에 대체할 목적이라면 strncpy를 저런 식으로 매크로 함수로 일괄 적용해서는 안 됩니다.

<hr />[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]

</div>

첨부파일

스팸 방지용 인증 번호

1401 (왼쪽의 숫자를 입력해야 합니다.)