GCC/Clangで変数を初期化しないように設定する方法はありますか？

Question

私は、C言語で変数を明示的に汚染することが可能かどうかを知りたいと思っています。初期化されていないものです。ここで

擬似コード...

{ 
    int *array; 
    array = some_alloc(); 
    b = array[0]; 
    some_free(array); 
    TAINT_MACRO(array); 

    /* the compiler should raise an uninitialized warning here */ 
    b = array[0]; 
} 

は、変数を汚染チェックするための一つの方法の一例ですが、GCCは、第二の使用ではなく、その後、「」初期化されていないVARに割り当てられたときに警告を上げています'a'。私が思い付くことができ

{ 
    int a = 10; 
    printf("first %d\n", a); 
    do { 
     int b; 
     a = b; 
    } while(0); 
    printf("second %d\n", a); 
} 

唯一の解決策は、明示的に（未使用の警告が存在しないので、ボイドが追加される）、初期化されていないものと変数をシャドウすることです。

#define TAINT_MACRO_BEGIN(array) (void)(array); { void **array; (void)array; 
#define TAINT_MACRO_END(array) } (void)(array); 
{ 
    int *array; 
    array = some_alloc(); 
    b = array[0]; 
    some_free(array); 
    TAINT_MACRO_BEGIN(array); 

    /* the compiler should raise an uninitialized warning here */ 
    b = array[0]; 
    TAINT_MACRO_END(array); 
} 

この方法は、既存のコードに含めるあまりにも多くのオーバーヘッドを追加します（ノイズおよび維持するために迷惑をたくさん追加されます）、その変数が初期化されていないコンパイラに伝えるためにいくつかの他の方法があった場合、私は思っていました。

私は静的チェッカーがあり、私はこれらを使用していることを知っていますが、私はコンパイル時に警告を与えることができ、このケースでは可能であると信じているバグの特定のクラス。

Answer 1

私は別の方法をとって、割り振りとフリー機能の周囲に汚れたマクロをラップします。

#ifdef O_TAINT 
volatile int taint_me; 
#define TAINT(x, m) \ 
    if (taint_me) { goto taint_end_##x; } else {} x = m 
#define free(x) free(x); taint_end_##x: (void)0 
#else 
#define TAINT(x, m) x = m 
#endif 

だから、あなたの例では、次のようになります：

int *array; 
int b; 

TAINT(array, malloc(sizeof(int))); 
b = array[0]; 
printf("%d\n", b); 
free(array); 

/* the compiler should raise an uninitialized warning here */ 
b = array[0]; 
printf("%d\n", b); 

これは完璧ではありませんこれは私が考えているものです。 gotoラベルは変数名に関連付けられているため、汚染された変数ごとにfree()への呼び出しは1回しか実行できません。ジャンプが他の初期化をスキップすると、他の誤検出が発生する可能性があります。 1つの関数で割り振りが行われ、メモリーが別の関数で解放された場合は機能しません。

ただし、この例では、尋ねた動作があります。正常にコンパイルされると、警告は表示されません。 -DO_TAINTを指定すると、bへの2番目の割り当て時に警告が表示されます。

---

私はかなり一般的な解決策を考え出すでしたが、それは開始/終了マクロで全体の機能をブラケット関与し、GCC拡張typeofオペレータに依存しています。ソリューションは、このように見える終わる：ここ

void foo (int *array, char *buf) 
{ 
    TAINT_BEGIN2(array, buf); 
    int b; 

    puts(buf); 
    b = array[0]; 
    printf("%d\n", b); 

    free(array); 
    free(buf); 

    /* the compiler should raise an uninitialized warning here */ 
    puts(buf); 
    b = array[0]; 
    printf("%d\n", b); 

    TAINT_END; 
} 

、TAINT_BEGIN2は汚染処理を取得する2つの関数のパラメータを宣言するために使用されています。残念ながら、マクロは混乱のようなものですが、簡単に拡張するために：

#ifdef O_TAINT 
volatile int taint_me; 
#define TAINT(x, m) \ 
    if (taint_me) { goto taint_end_##x; } else {} x = m 
#define TAINT1(x) \ 
    if (taint_me) { goto taint_end_##x; } else {} x = x##_taint 
#define TAINT_BEGIN(v1) \ 
    typeof(v1) v1##_taint = v1; do { \ 
    typeof(v1##_taint) v1; TAINT1(v1) 
#define TAINT_BEGIN2(v1, ...) \ 
    typeof(v1) v1##_taint = v1; TAINT_BEGIN(__VA_ARGS__); \ 
    typeof(v1##_taint) v1; TAINT1(v1) 
#define TAINT_BEGIN3(v1, ...) \ 
    typeof(v1) v1##_taint = v1; TAINT_BEGIN2(__VA_ARGS__); \ 
    typeof(v1##_taint) v1; TAINT1(v1) 
#define TAINT_END } while(0) 
#define free(x) free(x); taint_end_##x: (void)0 
#else 
#define TAINT_BEGIN(x) (void)0 
#define TAINT_BEGIN2(...) (void)0 
#define TAINT_BEGIN3(...) (void)0 
#define TAINT_END (void)0 
#define TAINT1(x) (void)0 
#define TAINT(x, m) x = m 
#endif 

Answer 2

私はGCCのリスト上の答えを送ったが、私は...

近代的なCおよびCでは最初SO自分自身を使用しているため++プログラマーは、この種の暴露を制御するために可変範囲を制限した を使用することを期待しています。

たとえば、私はこのようなものを望んでいると思います（私が使用している 属性は実際には存在しませんが、私はちょうどあなたの要求を に伝えようとしています）。

int x = 1; // initialized 
int y;  // uninitialized 

x = y;  // use of uninitialized value 'y' 

y = 2;  // no longer uninitialized 
x = y;  // fine 

y = ((__attr__ uninitialized))0; // tell gcc it's uninitialized again 

x = y; // warn here please. 

もしそうなら、私はC99（またはそれ以降）またはCで追加のスコープを使用することになり++（それは... 1993年に少なくともARMので、「使用の時点で宣言」だったの美しい 確認）：

余分なスコープ

int x = 1; // initialized 

{ 
    int y; // uninitialized 
    x = y; // warn here 
    y = 2; // ok, now it's initialized 
    x = y; // fine, no warning 
} 

{ 
    int y; // uninitialized again! 
    x = y; // warns here 
} 

は少しオフ入れているが、私は非常に C++でそれらを使用しています（RAII技術を多用から。）

主流の言語で、このための答えがあるので、私は を追加する価値があるとは思わないコンパイラ。

例を見ると、配列に関係しています。 は余分なスコープと同様に動作する必要があり、スタックフレーム全体が機能 エントリ（SFAIK以上）に割り当てられているため、余分な ランタイムコストは必要ありません。

Answer 3

Based on an answer to a different questionを使用すると、変更されたローカル変数の値が不定になるようにsetjmpとlongjmpを使用できます。

#define TAINT(x)        \ 
     do {         \ 
      static jmp_buf jb;    \ 
      if (setjmp(jb) == 0) {   \ 
       memset(&x, '\0', sizeof(x)); \ 
       longjmp(jb, 1);    \ 
      }        \ 
     } while (0) 

xは、ローカル変数がある場合、それはだ値が適用されTAINT後のコードの行では不確定となります。これは、のC.11 § 7.13.2 ¶ 3（強調鉱山）：

すべてのアクセス可能なオブジェクトには値を持ち、かつ 抽象マシンの他のすべてのコンポーネントはlongjmp機能があった時間のように、状態を持っています揮発性修飾 タイプを持っていないとsetjmp呼び出しとlongjmp 呼の間に変更されてい 対応setjmpマクロの呼び出しを含む関数に対してローカルな自動ストレージ 期間のオブジェクトの値ことを除いて、呼び出さ 不確定。

このように汚染された変数を使用するには診断は必要ありません。しかし、コンパイラ作成者は、最適化を強化するために未定義の動作を積極的に検出しているため、これが永遠に診断不能なままであれば驚くでしょう。