[C]Saisie sécurisé?

[Hypnoze57]

Bonjour à tous, j'essaie depuis quelques jours de créer une saisie le plus sécurisé possible en c. J'ai plusieurs questions sur mon code:

- getchar() est réellement nécessaire?
- Pourquoi la saisie d'une chaine commençant par un chiffre fonctionne elle quand même?

Code:

Code :

#include <stdio.h>
#include <stdlib.h>

int main(int argc, char *argv[])
{
    int chiffre, nbChiffres, retourScanf, i=1;
    while(i){
        printf("Saisir un chiffre\n>");
        retourScanf = scanf("%d%n", &chiffre, &nbChiffres);
        scanf("*[^\n]");
        getchar();
        fflush(stdin);
        if(retourScanf==1 && nbChiffres==1){
            printf("Retour: %d\nNombre de chiffre saisis: %d\nChiffre saisie: %d", retourScanf, nbChiffres, chiffre);
            i=0;
        } else {
            printf("Erreur de saisie.\n");
        }
    }
    return 0;
}

[Creepy_p0ney]

Salut, la saisie d'une chaine commençant par un chiffre fonctionne quand même car le formateur "%s" indique à la fonction qu'elle doit attendre une chaine, c'est à dire, n'importe quel caractère dans la table ascii, et les chiffres sont codés dedans : http://www.asciitable.com/. Pour ton getchar, je n'en sais rien, mais tu peux faire une fonction de saisie avec fgets ou read qui ne depasse pas un certain nombre d'octet, ensuite si tu veux un int, un long ou autre, tu utilises une fonction de conversion. POur plus d'information http://fr.openclassrooms.com/informatiqu...ce-a-fgets (je vais me faire taper sur les doigts)

En esperant avoir pas trop dit de conneries et être comprehensible.

[c4ffein]

Perso je te conseillerai de faire une version windows de ta fonction avec l api win32, et une version unix-like avec le syscall read pour recuperer la chaine de caracteres ascii, puis de le convertir en int toi meme. Pour t inspirer : http://n-pn.fr/forum/showthread.php?tid=3391

[supersnail]

WAT ??!??!

Pourquoi s'e**erder à distinguer windows/*nix ici alors que les fonctions fgets/strtol et compagnie font partie de la lib C standard et son dispo sur tous les OS (y compris win32, c'est dans msvcrt.dll) ?

D'autant plus que le propos ici est de sécuriser un input, pas de recoder fgets ou je ne sais quoi d'autre ...

[c4ffein]

J'ai lu un peu trop vite, je croyais qu'il voulait créer une fonction pour récuperer un nombre. Juste, quand strtol renvoie 0, il suffit de comparer errno a EINVAL et ERANGE pour savoir si l utilisateur a entré 0 ou une chaine malformée?

[Hypnoze57]

Je me suis peux être mal exprimé, je cherche à récupérer un chiffre et un seul. Mais lorsque je rentre une chaine de caractère qui commence par un chiffre, la condition est vérifié. Exemple: 5rfe/'rf('-è-(t0gt-46èunh5bgf

[Sh4dows]

Je me suis peux être mal exprimé, je cherche à récupérer un chiffre et un seul. Mais lorsque je rentre une chaine de caractère qui commence par un chiffre, la condition est vérifié. Exemple: 5rfe/'rf('-è-(t0gt-46èunh5bgf

Tu demandes à scanf de récupérer un chiffre avec %d:

Code C :


retourScanf = scanf("%d%n", &chiffre, &nbChiffres);
 

Du coup scanf lui en voyant un chiffre à l'indice 0 se dit c'est bon j'ai ce qu'il me demande donc je valide l'opération. Il ne doit même pas se faire ch*** à parcourir le reste de ta chaine..

Donc "5rfe/'rf('-è-(t0gt-46èunh5bgf " est true pour:

Code C :

if(retourScanf==1 && nbChiffres==1){..

Il faut donc que tu peaufines le scanf ou que tu fasses des checks sur un (char *).
Me concernant avec un read() comme cité plus haut, c'est terminé

Enfin ta variable nbChiffres n'étant pas initialisé et en ayant pour input une valeur (ex. fffffff6) ne validant pas le scanf, nbChiffres est random. Cela peut également être une source d'erreur plus tard

Code C :


retourScanf = scanf("%d%n", &chiffre, &nbChiffres); // Je rentre "fffffff6"
printf(">>> %d\n", nbChiffres);
 

Et cela me retourne

Code :

Saisir un chiffre
>fffffff6
>>> 4200768
Erreur de saisie.

[Hypnoze57]

Ah oui je comprend ! Merci pour vos réponses, j'essayerai de corriger sa demain, via les regex sa doit être possible non?

[Commodor]

scanf peut récupérer un seul octet. Si tu comptes en base 10 (donc un seul chiffre, pas nombre) l'appel de atoi convient.

Code :

char num;
int chiffre=0;

scanf("%1[^\n]", &num);  // récupération de 1 octet (et tant qu'on appuie pas sur 'ENTER' (facultatif))
chiffre = atoi(&num);         // ascii to integer

printf("chiffre = %d\n", chiffre);

[gruik]

babidibou babouda bidi da bidi bou :

Code C :

int num = 0;
printf ("entrer un chiffre : ");
scanf ("%1d", &num);
printf ("le chiffre est : %d\n", num);

douh ba dibidiba douh :

Code C :

char charnum;
int num = 0;
printf ("entrer un chiffre : ");
scanf ("%[0-9]", &charnum);
num = charnum - 0x30;
printf ("le chiffre est : %d\n", num);

daba douh

[Hypnoze57]

Merci Commodor !
Et gruik je voulais savoir dans ta ligne : "num = charnum - 0x30;" que signifie 0x30?

[supersnail]

0x30 = le code ASCII pour le caractère '0'

[crown]

Merci Commodor !
Et gruik je voulais savoir dans ta ligne : "num = charnum - 0x30;" que signifie 0x30?

Les chiffres de 0-9 sont représentés en hex par 0x3[0-9] donc en faisant la différence entre, par exemple : 0x39 (9 en décimal) et 0x30, tu obtiens le nombre en hex == à celui en décimal.