什麼是StringCbprintf，這與一般的sprintf有何不同？

Question

我打算通過先前編寫的代碼，我發現StringCbPrintf()功能

我發現msdn這樣的網站聲明：

HRESULT StringCbPrintf(
    _Out_ LPTSTR pszDest, 
    _In_ size_t cbDest, 
    _In_ LPCTSTR pszFormat, 
    _In_ ... 
); 

什麼是_in_和_out_這裏？

爲什麼需要我們已經有sprintf()？

Answer 1

_In_和_Out_（注：既不_in_/_out _爲你寫，也不__In__/__Out__雙下劃線，寫在一些其他的答案）是所謂的SAL註釋。它們可以與/analyze編譯器選項一起使用，並且可以使用原始C緩衝區和指針幫助識別錯誤和問題，如緩衝區溢出等。除了MSDN documentation on SAL，您還可以閱讀這個blog post。

有人諷刺意味的是（和錯誤）寫道：

「在世界其他地方，輸入是const的指針，但我想這 太簡單了:)。」

錯過了SAL是比這更強大的事實。實際上，對於SAL，您還可以指定目標緩衝區的最大大小，指示哪個參數包含目標緩衝區大小;例如如果你打開<strsafe.h>頭，你可以讀取用於StringCbPrintfW（Unicode版本的StringCbPrintf）實際SAL註釋是類似的東西：

STRSAFEAPI 
StringCbPrintfW(
    __out_bcount(cbDest) STRSAFE_LPWSTR pszDest, 
    __in size_t cbDest, 
    __in __format_string STRSAFE_LPCWSTR pszFormat, 
    ...) 
{ 
    .... 

注意應用於pszDest參數__out_bcount(cbDest) SAL註釋是如何指定這個是一個指向輸出緩衝液（__out），其大小由參數cbDest表示以字節爲單位（_bcount）。正如你所看到的，這是一個豐富註釋（不是簡單的「const」富裕或「非const」）。

在我看來，SAL是一種無用的，如果你寫C++代碼具有強大的容器類，如std::vector或std::string，哪知道自己的大小等，但SAL可以在C-ISH代碼與原始指針有用（如幾個Win32 API）。

關於你問題的第二部分：

「我們爲什麼需要StringCbPrintf如果我們已經有sprintf」

的主要原因是sprintf是不安全和緩衝overruns-俯臥撐功能;而不是StringCbPrintf您必須指定目標緩衝區的最大大小，這可以幫助防止緩衝區溢出（這是安全的敵人）。

Answer 2

The documentation試圖解釋給你：

相對於它取代的功能，StringCbPrintf代碼中的 適當的緩衝處理提供了額外的處理。緩衝區處理不佳涉及許多涉及緩衝區溢出的安全問題。 StringCbPrintf總是空終止非零長度的目標緩衝區。

__In__和__Out__裝飾器在Microsoft API中用於表示如何使用指針參數。在世界其他地方，輸入是const指針，但我想這太簡單了。 :)

Answer 3

據傳here：

StringCbPrintf是用於以下功能的替換：

• sprintf的，標準的swprintf，_stprintf
• wsprintf
• wnsprintf
• _snprintf ，_snwprintf，_sntprintf

因此，它不僅取代sprintf，還包括那些與wchar一起工作的例子。它還引入了額外的緩衝區處理來防止緩衝區溢出（如同一篇msdn文章中所述）。它也總是空終止目標緩衝區。 _in_和_out_是告訴你哪些參數是輸入的，哪些是輸出的。這些最有可能是#defined，並且在編譯開始之前就離開了。