strncpy 사용 시 주의 사항(Linux / Windows)
개인적으로 strncpy 함수를 strcpy의 안전한 함수 버전으로 사용하는 것을 선호합니다. 그런데, 동작 방식이 윈도우와 리눅스가 너무 달라서 정리해 봅니다. ^^
Visual C++의 Secure CRT 함수 - _tcsncpy_s, wcsncpy_s, strncpy_s
우선 윈도우에서는 secure 함수라고 4개의 인자를 받아 처리하는 함수가 제공됩니다. 공통적으로 _s 접미사가 붙는데 대략 다음과 같이 사용합니다.
wchar_t buf[10];
wchar_t *p = L"is";
_tcsncpy_s(buf, 10, p, wcslen(p));
/*
buf[0] = 'i';
buf[1] = 's';
buf[2] = '\0'; // wcslen(p) == 2이고, 3번째 위치에 null 처리
*/
안전성을 확보하기 위해 dst 버퍼의 크기도 지정해야 하고 src 측의 복사할 문자열 길이도 지정해야 합니다. 복사할 문자열 길이를 지정하는 방식이기 때문에 무조건 그 길이만큼을 복사하고 null 처리를 해준다는 특징이 있습니다.
wchar_t buf[10];
wchar_t *p = L"is";
_tcsncpy_s(buf, 10, p, 1); // 1개의 문자를 복사하고 2번째 위치에 null 처리
/*
buf[0] = 'i';
buf[1] = '\0';
*/
만약, dst 버퍼의 길이가 복사할 문자보다 부족하면 런타임 오류를 발생시킵니다. (이건 예전에
_vsnwprintf_s 함수 소개를 할 때도 언급했습니다.)
wchar_t buf[10];
wchar_t* p = L"is";
_tcsncpy_s(buf, 2, p, wcslen(p)); // 2글자 + null 처리를 해야 하지만, 대상 버퍼의 크기가 2이므로 예외 발생
/*
Debug Assertion Failed!
Program: C:\temp\ConsoleApplication1\Debug\ConsoleApplication1.exe
File: minkernel\crts\ucrt\inc\corecrt_internal_string_templates.h
Line: 218
Expression: (L"Buffer is too small" && 0)
For information on how your program can cause an assertion
failure, see the Visual C++ documentation on asserts.
*/
디버그에서는 저런 식으로 호출해 예외적인 경우가 없는지 확인하는 것이 좋을 수 있습니다. 하지만 런타임에서는 대상 버퍼의 길이 내에서 안전하게 복사 처리를 하고 싶을 텐데 이럴 때는 다음과 같이 호출하면 됩니다.
wchar_t buf[10];
wchar_t* p = L"is";
_tcsncpy_s(buf, 1, p, _TRUNCATE); // _TRUNCATE == -1
buf[0] = '\0'; // 대상 버퍼의 길이를 1로 지정했으므로 "0개의 문자 + null 처리"
gcc의 libc 함수 - strncpy
윈도우와는 달리 리눅스에서는 secure CRT 함수가 없습니다. 그래서 strncpy 함수는 (4개가 아닌) 3개의 인자만을 받게 되며 이 과정에서 오류를 내포하게 됩니다. 가령 윈도우처럼 다음과 같이 호출을 하면,
// 우분투 18 + gcc 환경
char buf[10];
char* p = "is";
strncpy(buf, p, strlen(p)); // 2글자만 복사하고 null 처리는 하지 않음
printf(buf);
/*
buf[0] = 'i';
buf[1] = 's';
buf[2...] == garbage
*/
정말로 "n"개의 글자만 복사하고 null 처리를 하지 않아 대상 버퍼를 다룰 때 조심해야 합니다. 만약 null 처리를 하고 싶다면 다음과 같이 +1을 하는 식으로 처리해야 합니다.
char buf[10];
char* p = "is";
strncpy(buf, p, strlen(p) + 1);
printf(buf);
/*
buf[0] = 'i';
buf[1] = 's';
buf[2] = '\0';
*/
사실, (리눅스의) strncpy는 +1을 하는 경우 null 처리를 해준다기보다는 지정된 문자열 길이보다 긴 숫자를 지정한 경우 무조건 나머지 영역을 null 처리를 해주는 방식입니다. 즉, 다음과 같이 지정하면 경우에 따라 필요 없는 2개의 버퍼가 더 null 처리가 됩니다.
char buf[10];
char* p = "is";
strncpy(buf, p, 5); // p 문자열 길이는 2지만, 5를 지정했으므로 3개의 영역에 null 처리
/*
buf[0] = 'i';
buf[1] = 's';
buf[2] = '\0';
buf[3] = '\0';
buf[4] = '\0';
*/
이러한 가벼운 성능 손실은 대부분의 경우 감수할만하지만 결정적으로 가장 큰 문제가 있습니다. 바로 대상 버퍼의 크기가 작을 경우입니다.
char buf[2];
char* p = "is";
strncpy(buf, p, 5);
/*
buf[0] = 'i';
buf[1] = 's';
buf[2] = '\0'; // 메모리 침범
buf[3] = '\0'; // 메모리 침범
buf[4] = '\0'; // 메모리 침범
*/
당연히 대상 버퍼의 크기에 대한 정보가 없으니 윈도우의 Secure CRT와는 달리 저렇게 버퍼 오버플로우 문제가 발생합니다. Release 빌드로 고객 PC에서 저런 식으로 실행됐을 경우, 프로그램 예외가 예측할 수 없게 발생하므로 꽤나 골치 아픈 문제가 발생할 여지가 있습니다.
이런 상이한 특징 때문에 다중 플랫폼을 지원하는 경우라면 strncpy의 경우 플랫폼에 따라 코드를 작성해야 합니다.
#if defined(PLATFORM_UNIX)
typedef char tchar;
#else
typedef wchar_t tchar;
#endif
tchar buf[10];
tchar* p = "is";
#if defined(PLATFORM_UNIX)
strncpy(buf, p, strlen(p) + 1);
#else
_tcsncpy_s(buf, 10, p, _TRUNCATE);
#endif
만약 저런 식으로 매번 처리하고 싶지 않다면 리눅스에서의 성능 저하를 약간 감수해 다음과 같이 통일할 수 있습니다.
#if defined(PLATFORM_UNIX)
typedef char tchar;
#define _TRUNCATE (-1)
#define _tcsncpy_s(__dest, __dest_len, __src, __src_len_not_used) strncpy(__dest, __src, __dest_len - 1); __dest[__dest_len - 1] = '\0';
#else
typedef wchar_t tchar;
#endif
tchar buf[10];
tchar* p = "is";
_tcsncpy_s(buf, 10, p, _TRUNCATE);
// 윈도우 Unicode의 경우: wcsncpy_s(buf, 10, p, _TRUNCATE);
// 리눅스의 경우: strncpy(buf, p, 10 - 1); buf[10 - 1] = '\0';
보는 바와 같이 대상 버퍼의 크기에 맞게 복사를 하므로 버퍼 오버플로우 없이 안전하게 사용할 수 있습니다. 물론, strcpy의 안전한 함수로써 strncpy를 사용하는 경우에만 저런 식으로 사용할 수 있습니다. null 처리를 하지 않는다는 특성으로 문자열을 중간에 대체할 목적이라면 strncpy를 저런 식으로 매크로 함수로 일괄 적용해서는 안 됩니다.
[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]