C標準ライブラリのどの関数が一般的に悪い習慣を助長しますか？

どのC標準ライブラリ関数が不適切に/セキュリティ問題/コードの欠陥/非効率を引​​き起こす/引き起こす可能性のある方法で使用されていますか？

私は明白なことで行くつもりです：

char *gets(char *s);

それを適切に使用することは単に不可能であるというその驚くべき特殊性で。

ほとんどの場合、atoi()は使用しないでください（これはatof()、atol()、およびatoll()にも適用されます）。

これは、これらの関数が範囲外のエラーをまったく検出しないためです。標準では、単に「結果の値を表現できない場合、動作は定義されていません。」と記載されています。したがって、安全に使用できるのは、入力が確実に範囲内にあることを証明できる場合のみです（たとえば、長さ4以下の文字列をatoi()に渡す場合、範囲外になることはありません。範囲）。

代わりに、strtol()ファミリーの関数の1つを使用してください。

質問をより広い意味でのインターフェースに拡張しましょう。

errno：

技術的には、それが何であるか、変数、マクロ、暗黙の関数呼び出しでさえ明確ではありませんか？最近のシステムでは、ほとんどの場合、スレッド固有のエラー状態を持つ関数呼び出しに変換されるマクロです。それは悪です：

• 呼び出し元が値にアクセスして「エラー」をチェックするためのオーバーヘッドが発生する可能性があるため（これは単なる例外的なイベントである可能性があります）
• なぜなら、図書館に電話をかける前に、発信者がこの「変数」をクリアすることを強制する場所さえあるからです。
• これは、ライブラリのグローバル状態を設定することで単純なエラーリターンを実装しているためです。

今後の標準では、errnoの定義がもう少しわかりやすくなっていますが、これらの醜さは残っています。

多くの場合、strtok_rがあります。

Reallocの場合、古いポインターを使用する必要がある場合、別の変数を使用することはそれほど難しくありません。プログラムが割り当てエラーで失敗した場合、古いポインタをクリーンアップする必要はほとんどありません。

printfとscanfをこのリストのかなり上位に配置します。書式設定指定子を正確に取得する必要があるという事実により、これらの関数は使いにくく、間違いが非常に簡単です。また、データを読み取るときにバッファオーバーランを回避することは非常に困難です。さらに、「printf形式の文字列の脆弱性」は、善意のプログラマーがクライアント指定の文字列をprintfの最初の引数として指定した場合に、おそらく数え切れないほどのセキュリティホールを引き起こしました。

一般的にmallocファミリーはどうですか？私が見た大規模で長寿命のプログラムの大部分は、あたかも無料であるかのように、至る所で動的メモリ割り当てを使用しています。もちろん、リアルタイム開発者はこれが神話であることを知っており、動的割り当てを不注意に使用すると、メモリ使用量が壊滅的に爆発したり、アドレス空間が断片化してメモリが枯渇する可能性があります。

マシンレベルのポインタを持たない一部の高級言語では、実装がオブジェクトへの参照を最新に保つことができる限り、プログラムの存続期間中にオブジェクトを移動してメモリを最適化できるため、動的割り当てはそれほど悪くありません。非従来型のC実装でもこれを行うことができますが、詳細を理解することは簡単ではなく、すべてのポインター逆参照で非常に大きなコストがかかり、ポインターがかなり大きくなるため、実用的な目的では、Cでは不可能です。

私の疑惑は、正しい解決策は通常、長寿命のプログラムがmallocを使用して通常どおり小さなルーチン割り当てを実行することですが、大規模で長寿命のデータ構造を再構築および置換できる形式で保持することです。断片化と戦うために定期的に、またはアプリケーション内の単一の大きなデータ単位を構成する多数の構造を含む大きなmallocブロック（ブラウザでのWebページのプレゼンテーション全体など）、またはディスク上の固定サイズのメモリ内キャッシュまたはメモリマップファイル。

reallocについてはすでに1つの答えがありますが、私はそれについて別の見方をしています。多くの場合、人々がreallocを意味するときにfreeと書くのを見てきました。 malloc-言い換えると、新しいデータを保存する前にサイズを変更する必要があるゴミでいっぱいのバッファがある場合。もちろん、これは、上書きされようとしているゴミの潜在的に大きな、キャッシュスラッシングmemcpyにつながります。

増大するデータで正しく使用された場合（オブジェクトをサイズnに増大させるための最悪の場合のO(n^2)パフォーマンスを回避する方法で、つまり、スペースが不足したときに線形ではなく幾何学的にバッファーを増大させます）、reallocは、単に独自の新しいmalloc、memcpy、およびfreeサイクルを実行するよりも疑わしい利点があります。 reallocがこれを内部的に回避できる唯一の方法は、ヒープの上部にある単一のオブジェクトを操作している場合です。

新しいオブジェクトをcallocでゼロ塗りつぶしたい場合、reallocが新しい部分をゼロ塗りつぶさないことを忘れがちです。

そして最後に、reallocのもう1つの一般的な使用法は、必要以上に割り当ててから、割り当てられたオブジェクトのサイズを必要なサイズに縮小することです。ただし、これは、チャンクをサイズで厳密に分離する実装では実際に有害である可能性があり（追加の割り当てとmemcpy）、場合によっては（大きな空きチャンクの一部を分割して新しい小さなオブジェクトを格納することにより）断片化が増える可能性があります。既存の小さな空きチャンクを使用する代わりに）。

realloc奨励悪い習慣と言うかどうかはわかりませんが、それは私が注意したい機能です。

私のbêtesnoireの1つは strtok() です。これは、再入可能ではなく、処理中の文字列をハッキングして、分離する各トークンの最後にNULを挿入するためです。これに伴う問題は軍団です。それはしばしば問題の解決策として悲惨なほど宣伝されますが、それ自体が問題であることがよくあります。常にではありません-安全に使用できます。しかし、あなたが注意している場合に限ります。安全に使用できないgets()を除いて、ほとんどの関数に同じことが当てはまります。

gmtime()やlocaltime()など、グローバル状態を操作する関数。これらの関数は、複数のスレッドで安全に使用することはできません。

EDIT：Rand()は同じカテゴリにあります。少なくともスレッドセーフの保証はありません。私のLinuxシステムでは、マニュアルページに再入可能ではなくスレッドセーフではないと警告されています。

まったく別の方法で、atan()がある場合のatan2()の利点を実際に理解したことはありません。違いは、atan2()が2つの引数を取り、-π.. +πの範囲内の任意の角度を返すことです。さらに、ゼロ除算エラーと精度エラーの損失（非常に小さい数を非常に大きい数で除算する、またはその逆）を回避します。対照的に、atan()関数は-π/ 2 .. +π/ 2の範囲の値のみを返すため、事前に除算を行う必要があります（atan()のシナリオは思い出せません。 （）] _は、単にアークタンジェントのテーブルを生成する以外に、除算なしで使用できます）。単純な値が与えられたときにatan2()の約数として1.0を提供しても、限界を押し上げることにはなりません。

別の答え、これらは実際には関連していないので、Rand：

• それは不特定のランダムな品質です
• 再入可能ではありません

この関数のいくつかは、いくつかのグローバル状態を変更しています。 （Windowsの場合）この状態は単一のスレッドごとに共有されます-予期しない結果が生じる可能性があります。たとえば、すべてのスレッドでRandを最初に呼び出すと同じ結果が得られ、疑似ランダムにするために注意が必要ですが、（デバッグ目的で）決定論的です。