strlcpy

strlcpy はC言語で文字列を安全にコピーするための関数である。ISO/IEC で規定された標準Cライブラリの関数ではないが、BSD libc などに含まれている。危険な使い方をしてしまいがちな関数strcpyやstrncpyの代替として、Todd C. MillerおよびTheo de Raadt (テオ・デ・ラート) が開発した^[1]。

概要[編集]

関数プロトタイプ（宣言）は以下である。

size_t strlcpy(char *dst, const char *src, size_t size);

ポインタsrcの指すアドレスから最大でsize - 1バイトの文字列をdstにコピーし、dstの指す文字列が必ずNUL文字^{[注釈 1]}で終わるようにする。つまり、dstのバッファの実際の大きさをsizeに指定すれば^{[注釈 2]}、バッファオーバーランしないことが保証される。

strncpyは似たプロトタイプchar *strncpy(char *dest, const char *src, size_t count)^[2]を持つが、最大でcountバイトをコピーするためNUL文字で終わるとは限らない点や、文字列が短い場合にdstの残った部分をすべてゼロで埋める点がstrlcpyと異なる。

実装状況[編集]

ToddとTheoはOpenBSDの開発者であり、strlcpyを最初に実装したオペレーティングシステム (OS) はOpenBSD 2.4である。以後、FreeBSD 3.3を含め、SolarisやmacOS等の各OS、OpenSSL等のライブラリにも採用されている。Linuxではlibbsdライブラリ経由で利用できる。

一方で、GNU Cライブラリ (glibc) の開発者たちは、GNU Coding Standardsで禁じられている「長い行を黙って切り詰める」関数である、このような仕様の関数はバグである、いい加減なプログラムを助長してしまう、新たなセキュリティ問題を生む、など否定的な見解を示しており^[3]、標準規格に含まれない限りはglibcには実装しない意向であった。しかし、POSIX仕様での標準化を受けて2.38で実装された。

Microsoft Visual C++には実装されていないが、バージョン8.0 (2005) 以降はセキュリティ強化バージョンのCRT関数として、出力バッファサイズを受け取りパラメータ検証を実行するstrcpy_sが実装されている^[4]^{[注釈 3]}。strcpy_sはC11規格で実装任意のセキュリティ強化関数として標準化されている^[5]。

危険な利用例[編集]

安易なstrlcpyの利用が、かえって危険な結果をもたらす例を以下に示す。

char cmd[] = "rm *.bak";
char buf[5];
strlcpy(buf, cmd, sizeof(buf));
system(buf);

sizeof(buf)が5であるため、最初の5 - 1すなわち4文字しかコピーされず、システムコール"rm *"（カレントディレクトリ内の全ファイルの削除）が実行されることになる。

本来はstrlcpyの戻り値をチェックするなどして、文字列がすべて意図した通りにコピーされたかどうかを確認すべきである。

脚注[編集]

注釈[編集]

^ NULLポインタと区別するため、意図的にASCIIの略称NULを使っている。
^ 例えば引数dstに固定長配列変数char buf[N]を渡す場合、Nまたはsizeof(buf)を引数sizeに指定すればよい。
^ C++の場合はテンプレート非型引数として固定長配列の要素数を受け取る関数オーバーロードが利用でき、また通常はコンパイラの推論によって自動的に決定されるため、固定長配列の場合は要素数を明示的に渡す必要がなく、また要素数の指定ミスを防ぐことができる。これは特にwcscpy_sのようなwchar_t配列を受け取る関数を使用する場合に有用である。

出典[編集]

^ strlcpy and strlcat - consistent, safe, string copy and concatenation. - 1999 USENIX Annual Technical Conference, June 6-11, 1999, Monterey, California, USA
^ strncpy, strncpy_s - cppreference.com
^ libc-alphaメーリングリストでの議論[1][2]より
^ strcpy_s, wcscpy_s, _mbscpy_s, _mbscpy_s_l | Microsoft Learn
^ strcpy, strcpy_s - cppreference.com

外部リンク[編集]

strlcpy(3) – FreeBSD Library Functions Manual Pages (en)

この項目は、コンピュータに関連した書きかけの項目です。この項目を加筆・訂正などしてくださる協力者を求めています（PJ:コンピュータ/P:コンピュータ）。

[2] NULLポインタと区別するため、意図的にASCIIの略称NULを使っている。

[3] 例えば引数dstに固定長配列変数char buf[N]を渡す場合、Nまたはsizeof(buf)を引数sizeに指定すればよい。

[7] C++の場合はテンプレート非型引数として固定長配列の要素数を受け取る関数オーバーロードが利用でき、また通常はコンパイラの推論によって自動的に決定されるため、固定長配列の場合は要素数を明示的に渡す必要がなく、また要素数の指定ミスを防ぐことができる。これは特にwcscpy_sのようなwchar_t配列を受け取る関数を使用する場合に有用である。

[1] strlcpy and strlcat - consistent, safe, string copy and concatenation. - 1999 USENIX Annual Technical Conference, June 6-11, 1999, Monterey, California, USA

[4] strncpy, strncpy_s - cppreference.com

[5] -alphaメーリングリストでの議論[1][2]より

[6] strcpy_s, wcscpy_s, _mbscpy_s, _mbscpy_s_l | Microsoft Learn

[8] strcpy, strcpy_s - cppreference.com

[1]

[注釈 1]

[注釈 2]

[2]

[3]

[4]

[注釈 3]

[5]

表話編歴 C言語
K&R ANSI C C89 C90 C99 C11 C17（英語版） C2x（英語版） Embedded C（英語版） MISRA C
Cの機能	関数ヘッダファイル演算子文字列（英語版）文法（英語版）プリプロセッサ（英語版）データ型（英語版）キーワードフリースタンディング環境
標準Cライブラリの関数	ctype.h（英語版） stdio.h math.h（英語版） stdlib.h（英語版） string.h（英語版） time.h stdarg.h（英語版） POSIXライブラリ（英語版）
標準Cライブラリ	Bionic（英語版） libhybris（英語版） dietlibc EGLIBC glibc klibc（英語版）マイクロソフトランタイムライブラリ（英語版） musl Newlib uClibc BSD libc
コンパイラ	ACK（英語版） BDS-C Clang C++ Builder gcc Intel C++ Compiler LCC（英語版） LSI C-86 Pelles C（英語版） PCC TCC Turbo C Microsoft Visual C++ Watcom C/C++（英語版）
統合開発環境	Anjuta Code::Blocks CodeLite Eclipse Geany Microsoft Visual Studio NetBeans CLion
派生言語	C++ Cg Cω D言語 Objective-C Alef（英語版） Limbo Go Vala SystemC Unified Parallel C
関連項目	IOCCC
カテゴリ