程序员好当吗,也许你感觉程序员就是写写代码,编编软件之类的工作,更有甚者认为程序员就是复制粘贴的搬运工,真的如此吗,如果真要是这么简单就好了,这不是喜明子就是为了省事做了不该做的事情。 短视频制作培训班的具体问题可以到我们网站了解一下,也有业内领域专业的客服为您解答问题,为成功合作打下一个良好的开端!
面向G编程的CP程序员要小心了!
喜明子比较近接了一个C++的私活,在编程的时候需要生成一个字母和数字混合的随机字符串,喜明子不知道该怎么办,于是打开G,输入关键字搜索,迅速在SO找到了答案,还附有相关代码,他心中窃喜,直接复制粘贴过来,稍加修改,问题搞定,爽!
这可能是很多程序员都干过的事情,但是一个研究显示这么做是有风险的。
1
比较近一个计算机科学研究小组研究了SO上过去十年的72483个C++代码片段,发现了69个有安全缺陷的代码片段,按照CWE(CWE)的规范,被分成29类。
从数量上来看,69个非常少,总数量的千分之一都不到,但是让人震惊的是这69个有安全缺陷的代码片段又出现在了2859个GH的开源项目中!
很明显,这些代码都是程序员从SO复制粘贴过去的。
拿文章开头喜明子的例子来讲,他需要用C++生成一个字母数字混合的随机字符串,但是不知道怎么办,于是就到SO上去搜索,他找到了一个ID为440240的答案,这个答案有265个赞同,被浏览了17万多次,应该是个好答案了吧!于是,喜明子动心了,他认为这是一段能解决问题的好代码,C,P吧!
然而这段代码是存在着大坑的。
首先是字符串长度的问题,CC++字符串以0结尾,带有''参数的函数应该把这一点考虑进来,但是这段代码只是简单的设置[]=0,这就会导致不可预料的行为。
其次()函数已经是一个过时的函数了,不应该被调用了,即使是被使用,也应该先调用()设置一个随机数种子。
第,使用()%N试图来产生一个随机数字也不是比较佳践,因为很多随机数生成器生成数字的低字节并不是真正随机的。
看起来很简单的代码却有很多安全的漏洞,如果贸然复制粘贴到自己的项目中,就是埋了一个地雷。
当好程序员先要学习编程,看看都有哪些好的培训班吧
郑州L云计算培训课程哪家好_郑州L云计算培训机构好不好
郑州P培训课程哪家好_郑州P培训机构在哪里多少钱
2
其,如果喜明子稍微细心一点,他就会看到这个答案有这么几个评论:际上已经有人指出代码的错误了,V还明确地说,SO应该提供一种机制,让这些过时的、废弃的答案沉下去,不能在这里误导大家了。
但是有多少CP程序员会细心地看这些评论呢?
这个研究小组的科学家们非常贴心,专门开发了一个C插件,当程序员去查看这些有安全缺陷的代码时,插件就会提示:这段代码有安全漏洞!试图阻止复制粘贴,并且提供一个更好的解决方案的链接。3
研究小组的科学家们就这些安全漏洞联系了GH项目的开发人员,从回复来看,只有133%的人说他们已经F了,有40%的人承认这些漏洞的可能性,但是他们认为输入数据不是动态的,没有安全风险。还有133%的人根本不愿意修改。可见安全问题任重而道远啊!希望能给CP程序员敲响一次警钟吧!
做程序员不容易,投机取巧不要做,否则后期造成的问题将会很多很多,比较后希望大家都可以用心当好程序员,做一秀的程序员,在程序员的路上走的越来越好。
如果你还没有成为一程序员,那就选择IT培训,学习前沿的编程技术,如此你才能一探编程的神秘! |
发表于 2022-10-31 07:10:16
提升卡
变色卡