source/include/safe_string.h

   1 /*
   2    Unix SMB/CIFS implementation.
   3    Safe string handling routines.
   4    Copyright (C) Andrew Tridgell 1994-1998
   5    Copyright (C) Andrew Bartlett <abartlet@samba.org> 2003
   6
   7    This program is free software; you can redistribute it and/or modify
   8    it under the terms of the GNU General Public License as published by
   9    the Free Software Foundation; either version 3 of the License, or
  10    (at your option) any later version.
  11
  12    This program is distributed in the hope that it will be useful,
  13    but WITHOUT ANY WARRANTY; without even the implied warranty of
  14    MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
  15    GNU General Public License for more details.
  16
  17    You should have received a copy of the GNU General Public License
  18    along with this program.  If not, see <http://www.gnu.org/licenses/>.
  19 */
  20
  21 #ifndef _SAFE_STRING_H
  22 #define _SAFE_STRING_H
  23
  24 #ifndef _SPLINT_ /* http://www.splint.org */
  25
  26 /* Some macros to ensure people don't use buffer overflow vulnerable string
  27    functions. */
  28
  29 #ifdef bcopy
  30 #undef bcopy
  31 #endif /* bcopy */
  32 #define bcopy(src,dest,size) __ERROR__XX__NEVER_USE_BCOPY___;
  33
  34 #ifdef strcpy
  35 #undef strcpy
  36 #endif /* strcpy */
  37 #define strcpy(dest,src) __ERROR__XX__NEVER_USE_STRCPY___;
  38
  39 #ifdef strcat
  40 #undef strcat
  41 #endif /* strcat */
  42 #define strcat(dest,src) __ERROR__XX__NEVER_USE_STRCAT___;
  43
  44 #ifdef sprintf
  45 #undef sprintf
  46 #endif /* sprintf */
  47 #define sprintf __ERROR__XX__NEVER_USE_SPRINTF__;
  48
  49 /*
  50  * strcasecmp/strncasecmp aren't an error, but it means you're not thinking about
  51  * multibyte. Don't use them. JRA.
  52  */
  53 #ifdef strcasecmp
  54 #undef strcasecmp
  55 #endif
  56 #define strcasecmp __ERROR__XX__NEVER_USE_STRCASECMP__;
  57
  58 #ifdef strncasecmp
  59 #undef strncasecmp
  60 #endif
  61 #define strncasecmp __ERROR__XX__NEVER_USE_STRNCASECMP__;
  62
  63 #endif /* !_SPLINT_ */
  64
  65 #ifdef DEVELOPER
  66 #define SAFE_STRING_FUNCTION_NAME FUNCTION_MACRO
  67 #define SAFE_STRING_LINE __LINE__
  68 #else
  69 #define SAFE_STRING_FUNCTION_NAME ("")
  70 #define SAFE_STRING_LINE (0)
  71 #endif
  72
  73 /* We need a number of different prototypes for our
  74    non-existant fuctions */
  75 char * __unsafe_string_function_usage_here__(void);
  76
  77 size_t __unsafe_string_function_usage_here_size_t__(void);
  78
  79 size_t __unsafe_string_function_usage_here_char__(void);
  80
  81 #ifdef HAVE_COMPILER_WILL_OPTIMIZE_OUT_FNS
  82
  83 /* if the compiler will optimize out function calls, then use this to tell if we are
  84    have the correct types (this works only where sizeof() returns the size of the buffer, not
  85    the size of the pointer). */
  86
  87 #define CHECK_STRING_SIZE(d, len) (sizeof(d) != (len) && sizeof(d) != sizeof(char *))
  88
  89 #define fstrterminate(d) (CHECK_STRING_SIZE(d, sizeof(fstring)) \
  90     ? __unsafe_string_function_usage_here_char__() \
  91     : (((d)[sizeof(fstring)-1]) = '\0'))
  92 #define pstrterminate(d) (CHECK_STRING_SIZE(d, sizeof(pstring)) \
  93     ? __unsafe_string_function_usage_here_char__() \
  94     : (((d)[sizeof(pstring)-1]) = '\0'))
  95
  96 #define wpstrcpy(d,s) ((sizeof(d) != sizeof(wpstring) && sizeof(d) != sizeof(smb_ucs2_t *)) \
  97     ? __unsafe_string_function_usage_here__() \
  98     : safe_strcpy_w((d),(s),sizeof(wpstring)))
  99 #define wpstrcat(d,s) ((sizeof(d) != sizeof(wpstring) && sizeof(d) != sizeof(smb_ucs2_t *)) \
 100     ? __unsafe_string_function_usage_here__() \
 101     : safe_strcat_w((d),(s),sizeof(wpstring)))
 102 #define wfstrcpy(d,s) ((sizeof(d) != sizeof(wfstring) && sizeof(d) != sizeof(smb_ucs2_t *)) \
 103     ? __unsafe_string_function_usage_here__() \
 104     : safe_strcpy_w((d),(s),sizeof(wfstring)))
 105 #define wfstrcat(d,s) ((sizeof(d) != sizeof(wfstring) && sizeof(d) != sizeof(smb_ucs2_t *)) \
 106     ? __unsafe_string_function_usage_here__() \
 107     : safe_strcat_w((d),(s),sizeof(wfstring)))
 108
 109 #define push_pstring_base(dest, src, pstring_base) \
 110     (CHECK_STRING_SIZE(pstring_base, sizeof(pstring)) \
 111     ? __unsafe_string_function_usage_here_size_t__() \
 112     : push_ascii(dest, src, sizeof(pstring)-PTR_DIFF(dest,pstring_base)-1, STR_TERMINATE))
 113
 114 #else /* HAVE_COMPILER_WILL_OPTIMIZE_OUT_FNS */
 115
 116 #define fstrterminate(d) (((d)[sizeof(fstring)-1]) = '\0')
 117 #define pstrterminate(d) (((d)[sizeof(pstring)-1]) = '\0')
 118
 119 #define wpstrcpy(d,s) safe_strcpy_w((d),(s),sizeof(wpstring))
 120 #define wpstrcat(d,s) safe_strcat_w((d),(s),sizeof(wpstring))
 121 #define wfstrcpy(d,s) safe_strcpy_w((d),(s),sizeof(wfstring))
 122 #define wfstrcat(d,s) safe_strcat_w((d),(s),sizeof(wfstring))
 123
 124 #define push_pstring_base(dest, src, pstring_base) \
 125     push_ascii(dest, src, sizeof(pstring)-PTR_DIFF(dest,pstring_base)-1, STR_TERMINATE)
 126
 127 #endif /* HAVE_COMPILER_WILL_OPTIMIZE_OUT_FNS */
 128
 129 #define safe_strcpy_base(dest, src, base, size) \
 130     safe_strcpy(dest, src, size-PTR_DIFF(dest,base)-1)
 131
 132 /* String copy functions - macro hell below adds 'type checking' (limited,
 133    but the best we can do in C) and may tag with function name/number to
 134    record the last 'clobber region' on that string */
 135
 136 #define pstrcpy(d,s) safe_strcpy((d), (s),sizeof(pstring)-1)
 137 #define pstrcat(d,s) safe_strcat((d), (s),sizeof(pstring)-1)
 138 #define fstrcpy(d,s) safe_strcpy((d),(s),sizeof(fstring)-1)
 139 #define fstrcat(d,s) safe_strcat((d),(s),sizeof(fstring)-1)
 140 #define nstrcpy(d,s) safe_strcpy((d), (s),sizeof(nstring)-1)
 141 #define unstrcpy(d,s) safe_strcpy((d), (s),sizeof(unstring)-1)
 142
 143 /* the addition of the DEVELOPER checks in safe_strcpy means we must
 144  * update a lot of code. To make this a little easier here are some
 145  * functions that provide the lengths with less pain */
 146 #define pstrcpy_base(dest, src, pstring_base) \
 147     safe_strcpy(dest, src, sizeof(pstring)-PTR_DIFF(dest,pstring_base)-1)
 148
 149
 150 /* Inside the _fn variants of these is a call to clobber_region(), -
 151  * which might destroy the stack on a buggy function.  We help the
 152  * debugging process by putting the function and line who last caused
 153  * a clobbering into a static buffer.  If the program crashes at
 154  * address 0xf1f1f1f1 then this function is probably, but not
 155  * necessarily, to blame. */
 156
 157 /* overmalloc_safe_strcpy: DEPRECATED!  Used when you know the
 158  * destination buffer is longer than maxlength, but you don't know how
 159  * long.  This is not a good situation, because we can't do the normal
 160  * sanity checks. Don't use in new code! */
 161
 162 #define overmalloc_safe_strcpy(dest,src,maxlength)      safe_strcpy_fn(SAFE_STRING_FUNCTION_NAME, SAFE_STRING_LINE,dest,src,maxlength)
 163 #define safe_strcpy(dest,src,maxlength) safe_strcpy_fn2(SAFE_STRING_FUNCTION_NAME, SAFE_STRING_LINE,dest,src,maxlength)
 164 #define safe_strcat(dest,src,maxlength) safe_strcat_fn2(SAFE_STRING_FUNCTION_NAME, SAFE_STRING_LINE,dest,src,maxlength)
 165 #define push_string(base_ptr, dest, src, dest_len, flags) push_string_fn2(SAFE_STRING_FUNCTION_NAME, SAFE_STRING_LINE, base_ptr, dest, src, dest_len, flags)
 166 #define pull_string(base_ptr, smb_flags2, dest, src, dest_len, src_len, flags) pull_string_fn2(SAFE_STRING_FUNCTION_NAME, SAFE_STRING_LINE, base_ptr, smb_flags2, dest, src, dest_len, src_len, flags)
 167 #define pull_string_talloc(ctx, base_ptr, smb_flags2, dest, src, src_len, flags) pull_string_talloc_fn2(SAFE_STRING_FUNCTION_NAME, SAFE_STRING_LINE, ctx, base_ptr, smb_flags2, dest, src, src_len, flags)
 168 #define clistr_push(cli, dest, src, dest_len, flags) clistr_push_fn2(SAFE_STRING_FUNCTION_NAME, SAFE_STRING_LINE, cli, dest, src, dest_len, flags)
 169 #define clistr_pull(cli, dest, src, dest_len, src_len, flags) clistr_pull_fn2(SAFE_STRING_FUNCTION_NAME, SAFE_STRING_LINE, cli, dest, src, dest_len, src_len, flags)
 170 #define srvstr_push(base_ptr, smb_flags2, dest, src, dest_len, flags) srvstr_push_fn2(SAFE_STRING_FUNCTION_NAME, SAFE_STRING_LINE, base_ptr, smb_flags2, dest, src, dest_len, flags)
 171
 172 #define alpha_strcpy(dest,src,other_safe_chars,maxlength) alpha_strcpy_fn(SAFE_STRING_FUNCTION_NAME,SAFE_STRING_LINE,dest,src,other_safe_chars,maxlength)
 173 #define StrnCpy(dest,src,n)             StrnCpy_fn(SAFE_STRING_FUNCTION_NAME,SAFE_STRING_LINE,dest,src,n)
 174
 175 #ifdef HAVE_COMPILER_WILL_OPTIMIZE_OUT_FNS
 176
 177 /* if the compiler will optimize out function calls, then use this to tell if we are
 178    have the correct types (this works only where sizeof() returns the size of the buffer, not
 179    the size of the pointer). */
 180
 181 #define safe_strcpy_fn2(fn_name, fn_line, d, s, max_len) \
 182     (CHECK_STRING_SIZE(d, max_len+1) \
 183     ? __unsafe_string_function_usage_here__() \
 184     : safe_strcpy_fn(fn_name, fn_line, (d), (s), (max_len)))
 185
 186 #define safe_strcat_fn2(fn_name, fn_line, d, s, max_len) \
 187     (CHECK_STRING_SIZE(d, max_len+1) \
 188     ? __unsafe_string_function_usage_here__() \
 189     : safe_strcat_fn(fn_name, fn_line, (d), (s), (max_len)))
 190
 191 #define push_string_fn2(fn_name, fn_line, base_ptr, dest, src, dest_len, flags) \
 192     (CHECK_STRING_SIZE(dest, dest_len) \
 193     ? __unsafe_string_function_usage_here_size_t__() \
 194     : push_string_fn(fn_name, fn_line, base_ptr, 0, dest, src, dest_len, flags))
 195
 196 #define pull_string_fn2(fn_name, fn_line, base_ptr, smb_flags2, dest, src, dest_len, src_len, flags) \
 197     (CHECK_STRING_SIZE(dest, dest_len) \
 198     ? __unsafe_string_function_usage_here_size_t__() \
 199     : pull_string_fn(fn_name, fn_line, base_ptr, smb_flags2, dest, src, dest_len, src_len, flags))
 200
 201 #define pull_string_talloc_fn2(fn_name, fn_line, ctx, base_ptr, smb_flags2, dest, src, src_len, flags) \
 202     pull_string_talloc_fn(fn_name, fn_line, ctx, base_ptr, smb_flags2, dest, src, src_len, flags)
 203
 204 #define clistr_push_fn2(fn_name, fn_line, cli, dest, src, dest_len, flags) \
 205     (CHECK_STRING_SIZE(dest, dest_len) \
 206     ? __unsafe_string_function_usage_here_size_t__() \
 207     : clistr_push_fn(fn_name, fn_line, cli, dest, src, dest_len, flags))
 208
 209 #define clistr_pull_fn2(fn_name, fn_line, cli, dest, src, dest_len, srclen, flags) \
 210     (CHECK_STRING_SIZE(dest, dest_len) \
 211     ? __unsafe_string_function_usage_here_size_t__() \
 212     : clistr_pull_fn(fn_name, fn_line, cli, dest, src, dest_len, srclen, flags))
 213
 214 #define srvstr_push_fn2(fn_name, fn_line, base_ptr, smb_flags2, dest, src, dest_len, flags) \
 215     (CHECK_STRING_SIZE(dest, dest_len) \
 216     ? __unsafe_string_function_usage_here_size_t__() \
 217     : srvstr_push_fn(fn_name, fn_line, base_ptr, smb_flags2, dest, src, dest_len, flags))
 218
 219 #else
 220
 221 #define safe_strcpy_fn2 safe_strcpy_fn
 222 #define safe_strcat_fn2 safe_strcat_fn
 223 #define push_string_fn2 push_string_fn
 224 #define pull_string_fn2 pull_string_fn
 225 #define pull_string_talloc_fn2 pull_string_talloc_fn
 226 #define clistr_push_fn2 clistr_push_fn
 227 #define clistr_pull_fn2 clistr_pull_fn
 228 #define srvstr_push_fn2 srvstr_push_fn
 229
 230 #endif
 231
 232 #endif