悟空云课堂丨代码安全第二十八期:未使用的变量缺陷漏洞

中科天齐软件源代码安全检测中心

共 405字,需浏览 1分钟

 ·

2021-05-25 16:19

中科天齐倾情打造《悟空云课堂》旨在科普软件安全相关知识,助力企业有效防范软件安全漏洞,提升网络安全防护能力。本期主题为未使用的变量缺陷漏洞的相关介绍。

一、什么是未使用的变量缺陷?

变量已赋值但从未使用过,这使其成为无意义的变量。

二、未使用的变量缺陷构成条件有哪些?

当一个局部变量被赋了一个值,而该值没有被任何后续指令使用时,就会出现未使用的变量。

三、未使用的变量缺陷会造成哪些后果?

计算或检索一个值,然后重写或丢弃它,可能表明代码中存在严重错误。即使这不是一个严重的错误,也是一种资源浪费。

四、未使用的变量缺陷的防范和修补方法有哪些?

从代码中删除未使用的变量。

五、通过错误消息导致的信息暴露缺陷样例:

lc809QFtOM.jpg

静态代码检测分析上述程序代码,则可以发现代码中存在着“未使用的变量” 导致的代码缺陷,如下图:

ggXqD4urNS.jpg

未使用的变量缺陷在CWE中被编号为CWE-563:Assignmentto Variable without Use


浏览 32
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报
评论
图片
表情
推荐
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报