Embarcadero C ++ Builderによって開発されたOpen WinSCPプロジェクトの検証

C / C ++でオープンソースプロジェクトを常にチェックしています。 しかし、ほとんどの場合、これらはVisual Studioで開発されたプロジェクトです。 しかし、どういうわけかEmbarcadero C ++ Builderから注目を奪われました。 修正する必要があり、今日はWinSCPプロジェクトをチェックしました。

Winscp

WinSCPは、Windows用に設計されたSFTPおよびSCPプロトコル用の無料のグラフィカルクライアントです。 GNU GPLで配布されています。 これらのプロトコルをサポートするコンピューターとサーバー間の安全なファイルコピーを提供します。



公式ウェブサイト： http : //winscp.net



プロジェクトをビルドするには、Embarcadero C ++ Builder XE2が必要です。

確認する

検証は、 PVS-Studioアナライザーを使用して実行されました。 現在、PVS-Studioは以下をサポートしています。

• Visual Studio 2013 C、C ++、C ++ 11、C ++ / CX（WinRT）
• Visual Studio 2012 C、C ++、C ++ 11、C ++ / CX（WinRT）
• Visual Studio 2010 C、C ++、C ++ 0x
• Visual Studio 2008 C、C ++
• Visual Studio 2005 C、C ++
• Embarcadero RAD Studio XE5 C、C ++、C ++ 11、64ビットコンパイラーが含まれています
• Embarcadero RAD Studio XE4 C、C ++、C ++ 11、64ビットコンパイラーが含まれています
• Embarcadero RAD Studio XE3 Update 1 C、C ++、C ++ 11、64ビットコンパイラーが含まれています
• Embarcadero RAD Studio XE2 C、C ++、C ++ 0x
• Embarcadero RAD Studio XE C、C ++
• Embarcadero RAD Studio 2010 C、C ++
• Embarcadero RAD Studio 2009 C、C ++
• MinGW C、C ++、C ++ 11

さらに、PVS-Studio Standaloneを実行できます。 事前に準備された* .iファイルを確認したり、プロジェクトのビルドプロセスを追跡したり、検証に必要なすべての情報を収集したりできます。 詳細については、「 PVS-Studioがすべてのビルドシステムをサポートするようになりました」をご覧ください。

検証結果

多くのエラーはありませんでしたが、この記事を書いてEmbarcadero RAD Studioユーザーの注意を引くのに十分です。

memset（）関数の引数を混同しました

TForm * __fastcall TMessageForm::Create(....) { .... LOGFONT AFont; .... memset(&AFont, sizeof(AFont), 0); .... }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

PVS-Studio警告：V575「memset」関数は「0」要素を処理します。 3番目の引数を調べます。 messagedlg.cpp 786



memset（）関数は、3番目の引数で配列のサイズを受け取ります。 シンプルだが不快なタイプミス。 構造は未初期化のままです。



以下のコードには、別の同じタイプミスがあります：messagedlg.cpp 796

存在しないオブジェクトを使用する

 void __fastcall TCustomScpExplorerForm::EditorAutoConfig() { .... else { .... TEditorList EditorList; EditorList = *WinConfiguration->EditorList; EditorList.Insert(0, new TEditorPreferences(EditorData)); WinConfiguration->EditorList = &EditorList; } .... }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

PVS-Studio警告：V506ローカル変数「EditorList」へのポインターは、この変数のスコープ外に保存されます。 そのようなポインターは無効になります。 customscpexplorer.cpp 2633



「EditorList」オブジェクトは、スコープを離れるとすぐに破棄されます。 ただし、プログラムはこのオブジェクトへのポインタを保存してから使用します。 これにより、未定義の動作が発生します。

会話のゴミ箱

 bool __fastcall RecursiveDeleteFile(....) { SHFILEOPSTRUCT Data; memset(&Data, 0, sizeof(Data)); .... Data.pTo = L""; .... }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

PVS-Studio警告：V540メンバー「pTo」は、2つの0文字で終了する文字列を指す必要があります。 common.cpp 1659



MSDNのpToパラメータの説明にある次の行に注意してください。「この文字列はダブルヌルで終了する必要があります。」



ファイルを操作するためのダイアログのエラーにより、ゴミが含まれます。 またはされません。 それはすべて運にかかっています。 しかし、とにかくコードは間違っています。

行を複製

 int CFileZillaApi::Init(....) { .... m_pMainThread->m_hOwnerWnd=m_hOwnerWnd; m_pMainThread->m_hOwnerWnd=m_hOwnerWnd; .... }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

PVS-Studio警告：V519「m_pMainThread-> m_hOwnerWnd」変数には、値が連続して2回割り当てられます。 おそらくこれは間違いです。 行を確認：88、89。filezillaapi.cpp 89



おそらく間違いはありません。 1行だけが余分です。

アイドルチェック

 STDMETHODIMP CShellExtClassFactory::CreateInstance(....) { .... CShellExt* ShellExt = new CShellExt(); if (NULL == ShellExt) { return E_OUTOFMEMORY; } .... }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

PVS-Studio警告：V668メモリが「new」演算子を使用して割り当てられたため、「ShellExt」ポインターをnullに対してテストしても意味がありません。 メモリ割り当てエラーの場合、例外が生成されます。 dragext.cpp 554



「if（NULL == ShellExt）」をチェックしても意味がありません。メモリを割り当てることができない場合、「new」演算子は例外std :: bad_allocをスローするからです。

fprintf（）関数を使用する危険な方法

 bool CAsyncSslSocketLayer::CreateSslCertificate(....) { .... char buffer[1001]; int len; while ((len = pBIO_read(bio, buffer, 1000)) > 0) { buffer[len] = 0; fprintf(file, buffer); } .... }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

V618このような方法で「fprintf」関数を呼び出すのは危険です。渡される行にはフォーマット仕様が含まれている可能性があるためです。 安全なコードの例：printf（ "％s"、str）; asyncsslsocketlayer.cpp 2247



ファイルへの書き込み時に制御指定子がバッファに含まれている場合、結果は予測できません。 安全な方法：

 fprintf(file, "%s", buffer);
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

一般に、このエラーは潜在的な脆弱性と見なすことができます 。

変数「err」に問題があります

 static error_t client_send_propfind_request(....) { .... error_t err = 0; int code = 0; apr_hash_t * props = NULL; const char * target = path_uri_encode(remote_path, pool); char * url_path = apr_pstrdup(pool, target); WEBDAV_ERR(neon_get_props(&props, ras, url_path, NEON_DEPTH_ZERO, starting_props, false, pool)); if (err && (err == WEBDAV_ERR_DAV_REQUEST_FAILED)) .... }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

警告：V560条件式の一部は常にfalseです：（err == 1003）。 webdavfilesystem.cpp 10990

おわりに

Embarcadero RAD Studioを使用しているプログラマーはどこですか？ あぁ！ 統計が示すように、ほとんどありません。 PVS-Studioコードアナライザーをお試しください！

この記事は英語です。

この記事を英語圏の聴衆と共有したい場合は、翻訳へのリンクを使用してください：Andrey Karpov。 Embarcadero C ++ Builderで開発されたオープンソースプロジェクトWinSCPのチェック 。