Top.Mail.Ru
Unicorn with delicious cookie
Мы используем куки, чтобы пользоваться сайтом было удобно.
Хорошо
to the top
Главная
>
Документация
>
Диагностики
>
V618. Dangerous call of 'Foo'...
menu mobile close menu
Введение
Как ввести лицензию PVS-Studio, и что делать дальше
Ознакомительный режим PVS-Studio
Системные требования
Технологии, используемые в PVS-Studio
История версий
История версий для старых релизов PVS-Studio (до версии 7.00)
Проверка проектов
На Windows
Знакомство со статическим анализатором кода PVS-Studio на Windows
Проверка проектов независимо от сборочной системы (C и
C++)
Прямая интеграция анализатора в системы автоматизации сборки (C и C++)
На Linux и macOS
Установка PVS-Studio C# на Linux и macOS
Как запустить PVS-Studio C# на Linux и macOS
Установка и обновление PVS-Studio C++ на Linux
Установка и обновление PVS-Studio C++ на macOS
Как запустить PVS-Studio C++ на Linux и macOS
Кроссплатформенное использование
Работа с ядром Java анализатора из командной строки
Кроссплатформенная проверка C и C++ проектов в PVS-Studio
PVS-Studio для
Embedded-разработки
Анализ C и C++ проектов на основе JSON Compilation Database
Среды разработки
Работа PVS-Studio в Visual
Studio
Работа PVS-Studio в JetBrains Rider и
CLion
Использование расширения PVS-Studio для Qt Creator
Интеграция с Qt Creator без использования плагина PVS-Studio
Использование расширения PVS-Studio для Visual Studio
Code
Работа PVS-Studio в IntelliJ IDEA и Android Studio
Сборочные системы
Проверка проектов Visual Studio / MSBuild / .NET из командной строки с помощью PVS-Studio
Интеграция PVS-Studio с помощью CMake-модуля
Интеграция PVS-Studio Java в сборочную систему Gradle
Интеграция PVS-Studio Java в сборочную систему Maven
Игровые движки
Анализ проектов на Unity с помощью PVS-Studio
Проверка Unreal Engine
проектов
Регулярное использование в процессе разработки
Запуск PVS-Studio в Docker
Запуск PVS-Studio в Jenkins
Запуск PVS-Studio в
TeamCity
Загрузка результатов анализа в Jira
PVS-Studio и Continuous Integration
Режим инкрементального анализа
PVS-Studio
Проверка коммитов и Pull Request'ов
Автоматическое развертывание PVS-Studio
Ускорение анализа C и C++ кода с помощью систем распределённой сборки (Incredibuild)
Интеграция результатов анализа PVS-Studio в инструменты контроля качества кода (веб дашборд)
Интеграция результатов анализа PVS-Studio в DefectDojo
Интеграция результатов анализа PVS-Studio в
SonarQube
Интеграция результатов анализа PVS-Studio в CodeChecker
Интеграция результатов анализа PVS-Studio в AppSec.Hub
Интеграция результатов анализа PVS-Studio в Hexway
Интеграция результатов анализа PVS-Studio в Securitm
Развёртывание анализатора в облачных CI
Использование в Travis CI
Использование в CircleCI
Использование в GitLab CI/CD
Использование в GitHub Actions
Использование в GitFlic
Использование в Azure DevOps
Использование в AppVeyor
Использование в Buddy
Работа с результатами анализа
Отображение наиболее интересных предупреждений анализатора
Использование диагностических правил группы OWASP в PVS-Studio
MISRA Coding Standards and Compliance
Подавление сообщений анализатора (отключение выдачи предупреждений на существующий
код)
Работа со списком диагностических сообщений в Visual Studio
Подавление ложноположительных
предупреждений
Просмотр и конвертация результатов анализа
Использование относительных путей в файлах отчётов PVS-Studio
Просмотр результатов анализа в приложении C and C++ Compiler Monitoring UI
Оповещение команд разработчиков (утилита
blame-notifier)
Фильтрация и обработка вывода анализатора при помощи файлов конфигурации диагностик (.pvsconfig)
Исключение из анализа файлов и каталогов
Дополнительная настройка и решение проблем
Советы по повышению скорости работы PVS-Studio
Устранение неисправностей при работе PVS-Studio
Дополнительная настройка диагностик
Механизм пользовательских аннотаций в формате JSON
Аннотирование C и C++ кода в формате JSON
Аннотирование C# кода в формате JSON
Предопределенный макрос PVS_STUDIO
Файл конфигурации анализа Settings.xml
Настройки: Общее
Настройки: Common Analyzer Settings
Настройки: Detectable Errors
Настройки: Don't Check Files
Настройки: Keyword Message Filtering
Настройки: Registration
Настройки: Specific Analyzer Settings
Описание диагностируемых ошибок
Сообщения PVS-Studio
Диагностики общего назначения (General Analysis, C++)
Диагностики общего назначения (General Analysis, C#)
Диагностики общего назначения (General Analysis, Java)
Микрооптимизации (C++)
Микрооптимизации (C#)
Диагностика 64-битных ошибок (Viva64, C++)
Реализовано по запросам пользователей (C++)
Cтандарт MISRA
Стандарт AUTOSAR
Стандарт OWASP (C++)
Стандарт OWASP (C#)
Стандарт OWASP (Java)
Проблемы при работе анализатора кода
Дополнительная информация
Информация о правах и торговых марках
toggle menu Оглавление
03 Июл 2012

V618. Dangerous call of 'Foo' function. The passed line may contain format specification. Example of safe code: printf("%s", str);

03 Июл 2012

Анализатор обнаружил, что вызов функции форматного вывода может привести к некорректному результату. Более того, подобный код может стать объектом для атаки (подробнее см. эту статью).

Вывод строки осуществляется напрямую без использования спецификатора "%s". В результате, если в строке случайно или преднамеренно встретиться управляющий символ это приведёт к сбою в работе программы. Рассмотрим простейший пример:

char *p;
...
printf(p);

Вызов функции printf(p) некорректен, поскольку отсутствует форматная строка вида "%s". Если в строке 'p' встретится спецификатор формата, то такой вывод скорее всего окажется некорректным. Безопасный вариант кода:

char *p;
...
printf ("%s", p);

Предупреждение V618 может показаться несущественным. Но на самом деле это очень важный момент в создании качественных и надёжных программ.

Учтите, что совершенно неожиданно в строке вдруг могут встретиться спецификаторы формата (%i, %p и так далее). Это может произойти случайно, когда пользователь введёт некорректные входные данные. Это может произойти умышленно, когда некорректные данные будут поданы специально. Отсутствие спецификатора "%s" может привести к падению программы или в выводе куда-то приватных данных. Прежде чем отключить диагностику V618 ещё раз настаиваем на том, чтобы обязательно прочитать статью "Не зная брода, не лезь в воду. Часть вторая". Исправления в коде будут не так велики, чтобы проигнорировать данный вид дефекта.

Примечание. Анализатор старается не выдавать предупреждение V618, когда вызов функции не может привести к каким либо плохим последствиям. Пример, где анализатор не выдаёт предупреждение:

printf("Hello!");

Выявляемые диагностикой ошибки классифицируются согласно ГОСТ Р 71207–2024 как критические и относятся к типу: Ошибки некорректного использования системных процедур и интерфейсов, связанных с обеспечением информационной безопасности (шифрования, разграничения доступа и пр.), Ошибки использования форматной строки.

Данная диагностика классифицируется как:

Взгляните на примеры ошибок, обнаруженных с помощью диагностики V618.

Была ли полезна эта страница документации?

close form

Заполните форму в два простых шага ниже:

Ваши контактные данные:

Шаг 1
Поздравляем! У вас есть промокод!

Тип желаемой лицензии:

Шаг 2
Team license
Enterprise license
* Разница между Team и Enterprise
Не получили письмо?
** Нажимая на кнопку, вы даете согласие на обработку
своих персональных данных. См. Политику конфиденциальности
close form
Запросите информацию о ценах
Почему мы просим корпоративную почту?
Новая лицензия
Продление лицензии
--Выберите валюту--
USD
EUR
RUB
Не получили письмо?
* Нажимая на кнопку, вы даете согласие на обработку
своих персональных данных. См. Политику конфиденциальности

close form
Бесплатная лицензия PVS‑Studio для специалистов Microsoft MVP
Почему мы просим корпоративную почту?
Не получили письмо?
* Нажимая на кнопку, вы даете согласие на обработку
своих персональных данных. См. Политику конфиденциальности

close form
Для получения лицензии для вашего открытого
проекта заполните, пожалуйста, эту форму
Не получили письмо?
* Нажимая на кнопку, вы даете согласие на обработку
своих персональных данных. См. Политику конфиденциальности

close form
Я хочу принять участие в тестировании
Почему мы просим корпоративную почту?
Не получили письмо?
* Нажимая на кнопку, вы даете согласие на обработку
своих персональных данных. См. Политику конфиденциальности

close form
check circle
Ваше сообщение отправлено.

Мы ответим вам на


Если вы так и не получили ответ, пожалуйста, проверьте, отфильтровано ли письмо в одну из следующих стандартных папок:

  • Промоакции
  • Оповещения
  • Спам