目录

C/C++安全规范

1.命名安全

1.1通用命名安全

1.2文件命名安全

1.3函数命名安全

1.4类型命名安全

1.5变量命名安全

2.使用安全

2.1不能直接使用无长度限制的字符拷贝函数

2.2创建进程类的函数的安全规范

2.3尽量减少使用 _alloca 和可变长度数组

2.5防止泄露指针（包括%p）的值

2.8进制问题

3. 缓冲区溢出

3.1使用安全的函数

3.2检查输入的长度

3.3使用动态内存分配

3.4使用STL容器

3.5检查输入的有效性

3.6避免整数溢出

4. 编程习惯安全

4.1switch中应有default

4.2不应当在Debug或错误信息中提供过多内容

4.3不应该在客户端代码中硬编码对称加密秘钥

4.6检查复制粘贴的重复代码（相同代码通常代表错误）

5. 整数操作安全

5.1整数操作不当的常见场景

5.2整数操作不当会导致内存分配出错

5.4使用整数要多校验数值的合法性

6. 文件操作安全

6.1避免路径穿越问题

6.2避免相对路径导致的安全问题（DLL、EXE劫持等问题）

6.3文件权限控制

7. 内存安全

7.1常见的危险的堆操作

7.2内存管理使用不当

7.3防止任意地址写

7.4防止各种越界写（向前/向后）

C/C++安全规范

1.命名安全

1.1通用命名安全

C/C++一般使用驼峰命名的方式进行命名

1.2文件命名安全

C语言：

a：文件命名统一采用小写字符

b:文件名命名只允许使用小写字母、数字以及下划线(_)。

c：文件名应尽量简短、准确、无二义性。

C++：

a：C++文件以.cpp结尾，头文件以.h结尾

b：C++的头文件和cpp文件名和类名保持一致，使用下划线小写风格

1.3函数命名安全

C/C++：

a：函数命名统一使用大驼峰风格

b：函数的命名遵循阅读习惯；

动作类函数名，可以使用动宾结构。如：AddTableEntry()

判断型函数，可以用形容词，或加 is：DataReady()

数据型函数：TotalCount()

1.4类型命名安全

a：类型命名采用大驼峰命名风格。

b：通过 typedef 对结构体、联合体、枚举起别名时，尽量使用匿名类型。

c：若需要指针自嵌套，可以增加 ‘tag’ 前缀或下划线后缀。

1.5变量命名安全

a：变量命名使用小驼峰风格

b：全局变量应增加 ‘g_’ 前缀，函数内静态变量命名不需要加特殊前缀

c：局部变量应该简短，且能够表达相关含义

2.使用安全

2.1不能直接使用无长度限制的字符拷贝函数

避免使用不执行边界检查的字符串函数，因为它们可能被用来进行缓冲区溢出攻击。例如strcpy、strcat、sprintf、wcscpy、mbscpy等，这些函数可以输出一长串字符串，而不限制长度。如果环境允许，应当使用其_s安全版本替代，或者使用n版本函数。

2.2创建进程类的函数的安全规范

system、WinExec、CreateProcess、ShellExecute等启动进程类的函数，需要严格检查其参数。

2.3尽量减少使用 _alloca 和可变长度数组

_alloca 和可变长度数组使用的内存量在编译期间不可知。尤其是在循环中使用时，根据编译器的实现不同，可能会导致：a：栈溢出，即拒绝服务；

b：缺少栈内存测试的编译器实现可能导致申请到非栈内存，并导致内存损坏。

2.4printf系列参数必须对应

所有printf系列函数，如sprintf，snprintf，vprintf等必须对应控制符号和参数。

2.5防止泄露指针（包括%p）的值

所有printf系列函数，要防止格式化完的字符串泄露程序布局信息。%p的值只应当在程序内使用，而不应当输出到外部或被外部以某种方式获取。

2.6对数组delete时需要使用delete[]

2.7注意隐式符号转换

两个无符号数相减为负数时，结果应当为一个很大的无符号数，但是小于int的无符号数在运算时可能会有预期外的隐式符号转换。

2.8进制问题

1. 缓冲区溢出

3.1使用安全的函数

在C/C++中，有一些函数是安全的，可以避免缓冲区溢出。如strcpy_s、strcat_s、sprintf_s、snprintf等函数，它们都是带有长度参数的，可以确保不会写入超出缓冲区长度的数据。

3.2检查输入的长度

在处理字符串时，要注意检查输入的字符串长度，确保不会超出缓冲区长度。可以使用strlen函数来获取字符串长度，然后与缓冲区长度进行比较。

3.3使用动态内存分配

可以使用动态内存分配函数，如malloc和realloc，在运行时动态分配缓冲区，避免固定缓冲区大小不足的问题。

3.4使用STL容器

STL提供了多种容器，如vector、list、map等，这些容器会自动管理内存，避免了手动分配内存的问题。

3.5检查输入的有效性

检查所有的输入数据的有效性，以防止注入攻击、缓存区溢出等漏洞的产生。

3.6避免整数溢出

要避免整数溢出，可以使用较大的数据类型来存储整数变量，或者对变量进行检查。

避免整数溢出的措施：

a：使用正确的数据类型：根据实际情况选择合适的数据类型，如使用long long代替int64_t，避免数据类型不匹配的问题。

b：检查溢出情况：在进行整数运算时，可以使用条件语句判断是否发生了溢出，避免数据丢失或者错误。

1. 编程习惯安全

4.1switch中应有default

switch中应该有default，以处理各种预期外的情况。这可以确保switch接受用户输入，或者后期在其他开发者修改函数后确保switch仍可以覆盖到所有情况，并确保逻辑正常运行。

4.2不应当在Debug或错误信息中提供过多内容

包含过多信息的Debug消息不应当被用户获取到。Debug信息可能会泄露一些值，例如内存数据、内存地址等内容，这些内容可以帮助攻击者在初步控制程序后，更容易地攻击程序。

4.3不应该在客户端代码中硬编码对称加密秘钥

a：如果业务需求是认证加密数据传输，应优先考虑直接用 HTTPS 协议。

b：如果是其它业务需求，可考虑由服务器端生成对称秘钥，客户端通过HTTPS等认证加密通信渠道从服务器拉取。

c：根据用户特定的会话信息，比如登录认证过程可以根据用户名用户密码业务上下文等信息，使用HKDF等算法衍生出对称秘钥。

d：使用 RSA/ECDSA + ECDHE 等进行认证秘钥协商，生成对称秘钥。

4.4有逻辑联系的数组必须仔细检查

4.5避免函数的声明和实现不同

在头文件、源代码、文档中列举的函数声明应当一致，不应当出现定义内容错位的情况。

4.6检查复制粘贴的重复代码（相同代码通常代表错误）

当开发中遇到较长的句子时，如果选择了复制粘贴语句，要检查每一行代码，不要出现上下两句相同的情况，这通常代表代码出现了错误

1. 整数操作安全

5.1整数操作不当的常见场景

a：有/无符号整数运算溢出

b：整形转换时出现数据截断

c：对有符号整数使用为操作符运算

5.2整数操作不当会导致内存分配出错

5.3有符号整数溢出的结果有不确定性，无符号整数溢出会出现反转环绕

5.4使用整数要多校验数值的合法性

1. 文件操作安全

6.1避免路径穿越问题

在进行文件操作时，需要判断外部传入的文件名是否合法，如果文件名中包含 ../ 等特殊字符，则会造成路径穿越，导致任意文件的读写。

6.2避免相对路径导致的安全问题（DLL、EXE劫持等问题）

在程序中，使用相对路径可能导致一些安全风险，例如DLL、EXE劫持等问题。

6.3文件权限控制

在创建文件时，需要根据文件的敏感级别设置不同的访问权限，以防止敏感数据被其他恶意程序读取或写入。

1. 内存安全

7.1常见的危险的堆操作

a：内存拷贝/分配时未检验合理性

b：引用空指针/野指针/未定义指针/已释放内存的指针

c：使用不匹配的内存管理操作、重复释放、使用有隐患的函数比如realloc和alloca等；

7.2内存管理使用不当

导致拒绝服务攻击（比如程序崩溃）、执行任意代码（溢出越界）等

7.3防止任意地址写

任意地址写会导致严重的安全隐患，可能导致代码执行。因此，在编码时必须校验写入的地址。

7.4防止各种越界写（向前/向后）