VC6到VC2005升级中的安全问题与解决策略

VC6代码向VC2005升级时要注意的问题
    将以前的代码在vc2005下编译，经常会遇到类似如下的警告: warning C4996: 'strcat' was declared deprecated. 通常这类警告都是由于调用了字符串相关函数引起的。虽然这警告无伤大雅，仅仅只是说使用的函数已过时(deprecated)<需要用新的函数来替代>,但看着实在别扭,且看看ms为什么要设置成这样。
    搜索了一下ms的网站，找到了结果。ms认为以前的c/c++库中有一部分函数不够安全，希望程序员可以使用他们的替代安全库(Safe Library)来避免不必要的隐患。 整个原文请点击以下链接访问:Repel Attacks on Your Code with the Visual Studio 2005 Safe C and C++ Libraries   
    在网上搜索到的最常用的解决方案，那就是定义 _CRT_SECURE_NO_DEPRECATE 和 _SCL_SECURE_NO_DEPRECATE 来禁止vc2005对此产生警告(依然使用的是非安全库！显然并不是一个好的解决方案)。而且如果使用了ATL,则还需要定义 _ATL_SECURE_NO_DEPRECATE， 使用了MFC则需要定义 _AFX_SECURE_NO_DEPRECATE。然而尽管如此，更好的解决方案只需要定义一个宏 _CRT_SECURE_CPP_OVERLOAD_STANDARD_NAMES, 那么vc将会自动替换使用他们的Safe Library来代替C/C++标准库(如strcat将被strcat_f来取代)。
    即使使用了_CRT_SECURE_CPP_OVERLOAD_STANDARD_NAMES，代码将依旧不够安全:(, 对此，ms提出了如下10点建议:
    1. 不要认为 strcpy_s 和 strncpy_s( 以及其他的字符串函数)(在空间不够的时候)会自动终止拷贝(truncate截断，不截断则意味着溢出).如果需要自动截断，请使用strncpy_s (同时使用_TRUNCATE作为长度参数)。
    2. 记住fopen_s缺省是独占模式。如需共享使用文件，应该使用_sopen。
    3. 别忘了_dupenv_s, 它将比_getenv_s更容易使用，因为它能自动分配一个正确长度的内存(buffer)。
    4. 在scanf_s中小心参数顺序。
    5. 确定printf_s中格式字符串的正确。
    6. 使用_countof(x)来取代sizeof(x)/sizeof(element). _countof将会正确的计算元素个数，而且如果x是一个指针，编译器将会发出一个警告(来提醒程序员,仅针对C++编译)
    7. 记住所有的sizes(大小,非长度)都是使用characters(字符，unicode下一个字符占2个byte)作为单位，而不是bytes(字节).
    8. 记住所有的sizes(大小，非长度，缘由同上)包含了字符串结束符'\0'(即别忘了很多情况下size需要+1)。
    9. 调试的时候监视数据0xfd。 (在调试版本下)0xfd将会被填充在数据(buffer，通常是字符串)的结尾处。如果运行非你所愿，可能会得到一个长度错误。
    10. 检查所有的错误。 许多新函数相比旧函数,能返回(表示)错误信息(的数值)。
    今天在把以前的项目port到VC2005上来时，碰到了不少问题，大都和字符处理相关。VC2005中默认的字符处理函数都是调用双字节版本，而且直接在代码中输入的字符串都默认为双字节的。
    在项目的转换Log中发现这一段：The C/C++ compiler default settings have been modified to be more compliant with ISO Standard C++. Included in those changes are enforcing Standard C++ for loop scoping and supporting wchar_t as a native type. These changes may cause existing code to no longer compile without changes to the code or the compiler options with which it is built.
    Standard C++ 有要求wchar_t作为默认的字符类型吗？只好先在Project->Properties->Configuration Properties->C/C++->Language中的选项"Treate wchar_t as Build-in Type"设置为No
    还有一点就是VC2005的CRT用的是新版的Security-Enhanced Versions of CRT Functions,有关字符串处理的相关函数都被建议用后缀加上"_s"的版本，这样的话，在从以前项目的转换中会出现一大堆的warnings，做好的解决办法是：在预编译头文件中的任何include之前加入:   
    //for Secure Template Overloads of Security-Enhanced Versions of CRT Functions
    #define _CRT_SECURE_CPP_OVERLOAD_STANDARD_NAMES 1
    定义这个宏就会默认使用Security-Enhanced CRT，即使你的代码中用的并不是加后缀_s的函数版本，因为它在库中使用了一个小技量：函数重载。
    但是即使你完全按照上面的做了，在编译代码的时候还是会出现一大堆烦人的warnings，你可能会说“我不是已经用新版的CRT了吗？” 是的，没错！那是在链接的时候做的，但是编译器在编译你的代码的时候并不清楚，它只认你上面写的是什么，没"xxx_s";，就给你好看！不让它们出现有两种办法，我们首先想到的就是可以在预编译头文件里加上#pragma warning (disable :xxxx)，这样也不失为一个处理的办法。另外一个是VS2005自带MSDN中说明的办法，同上，在stdafx.h没include任何头文件之前定义一个宏:
    //for no more warns about the Security-Enhanced Versions of CRT Functions
    #define _CRT_SECURE_NO_DEPRECATE
   【系统分析】【编译】【代码升级】升级到Visual C++ 2005库要注意事项
    Visual C++库的十项突破性变化</p><p>Visual C++ 2005库已经发生了一系列的变化，可能会对现有的程序有所影响，在升级到Visual C++ 2005之前，必须要确定程序中没有这些问题。
    1、参数的有效性
    在C运行时库中，加入了一些代码，以检查参数的有效性。例如：如果传递的目标缓冲区大小不足以strcpy使用--通常这是在冒安全风险，而新版本此时则会调用一个非法参数处理程序。在release版中，会调用Dr.Watson；而在debug版中，会产生断言（assert），当然，只要程序中传递的参数都是有效的，就不会有什么问题了。
    2、对非安全API的警告