編譯程序的安全性

1. java語言的優點是什麼

Java語言共有十大特點，分別為：簡單性、面向對象、分布性、編譯和解釋性、穩健性、安全性、可移植性、高性能、多線索性、動態性。

1、簡單性：Java語言繼承了C++語言的優點，去掉了C++中學習起來比較難的多繼承、指針等概念，所以Java語言學習起來更簡單，使用起來也更方便。

2、面向對象：Java是一種面向對象的編程語言。

3、分布性：Java設計成支持在網路上應用，它是分布式語言。所以只要用Java編寫了一個程序，就可以到處應用。可以節省大量人力物力。

4、編譯和解釋性：Java編譯程序生成位元組碼，而不是通常的機器碼，這使得Java開發程序比用其他語言開發程序快很多。

5、穩健性：Java剛開始被設計出來就是為了寫高可靠和穩健的軟體的。所以用Java寫可靠的軟體很容易。目前許多第三方交易系統、銀行平台的前台和後台電子交易系統等都會用Java語言開發。

6、安全性：Java的存儲分配模型是它防禦惡意代碼的主要方法之一。所以很多大型企業級項目開發都會選擇用Java開發。

7、可移植性：Java並不依賴平台，用Java編寫的程序可以運用到任何操作系統上。

8、高性能：Java是一種先編譯後解釋的語言，所以它不如全編譯性語言快。但Java設計者製作了「及時」編譯程序，這樣就可以實現全編譯了。

9、多線索性：Java是多線索語言，它可以同時執行多個程序，能處理不同任務。

10、動態性：Java語言設計成適應於變化的環境，它是一個動態的語言。

《2020最新Java基礎精講視頻教程和學習路線！》

原文鏈接：網頁鏈接

2. 編譯器如何危及應用程序的安全

對於編譯器如何將人類可讀的代碼翻譯成機器運行的機器碼，大多數程序員通常只有大概的概念。在編譯過程中，編譯器會對代碼進行優化，使其能高效的運行。有的時候，編譯器在優化上面走的太遠了，它甚至移除了本不應該移除的代碼，導致應用程序更加脆弱。
MIT人工智慧和計算機科學實驗室的四位研究人員調查了（PDF） 不穩定優化（optimization-unstable）代碼的問題——編譯器移除的包含未定義行為的代碼。所謂的未定義行為包括了除以0，空指針間接 引用和緩沖溢出等。在某些情況下，編譯器完整移除未定義行為代碼可能會導致程序出現安全弱點。
研究人員開發了一個靜態檢查器STACK去識別不穩定的 C/C++代碼，他們在足球平台出租測試的系統中發現上百個新bug：Linux內核發現32個bug，Mozilla發現3個，Postgres 9個和Python 5個。STACK掃描了Debian Wheezy軟體包倉庫8575個含有C/C++代碼的軟體包，發現其中3471個至少包含一個不穩定的代碼。研究人員認為這是一個非常普遍的問題。

3. JAVA的幾個重要特點

java的幾個特點： 這是我對java特點的一些理解及其歸納： (1)、java 的簡單性：和C++相比，語法簡單了，取消了指針的語法；內存分配和回收不需要我們來過渡關注，C++可以多繼承，但java只能是單繼承，相對於類來說。（註：介面可以多繼承） （2）、java面向對象：java算是純面向對象，但jquery是更純的面向對象。 在java編程思想這本書說過，「Everything is object!」 這樣便於人類的構思和設計，更符合人們的思考問題方式 （3）、分布式：主要還是用在EJB上 （4）、安全性：java的語法限定了源程序的安全性，首先編譯器會進行源代碼的第一步檢查 （5）、跨平台：java能夠跨越不同的操作系統平台，平台無關性 怎麼跨平台呢？ 主要是在不同的操作系統中，JVM規范都是一樣的，被JVM載入成各個操作系統所支持的，屏蔽了底層操作系統的差異 （6）、高性能：開閉原則---對擴展開放，對修改關閉 java是即時編譯的 （7）、多線程： Java開發的流程： （1）、首先編輯 .java源程序 （2）、編譯成 .class位元組碼文件byte code（一種二進制文件） （3）、最後被java虛擬機（JVM）載入解釋並執行 雖然這些是很基礎的知識，但這些是我對java重新的認識，可能還是有很多地方不到位，但我更想把底層的知識打牢。 請大家一起更我分享，若有好的建議，請提出！我想更進一步的學習！

4. 從軟體開發人員的角度來看如何提高自己編寫的程序的安全性呢

除了逐層證明沒有絕對可靠的方法，即使逐層證明也只能避免已知的問題。

實際操作只能依靠良好的習慣和經驗加上可以接受程度上的證明，這個並沒有什麼定法。

----

可以通過在程序里加入驗證機制來驗證程序運行中的正確性，不過這個往往也得在證明基礎之上，因為你得保證你的驗證是對的。

尋求不需要理解內涵的竅門不是工程師該做的事。

5. 計算機編程語言的自身缺陷與程序安全性之間關系是什麼

計算機編程語言的自身缺陷
程序安全性
其實是不同層次的問題。
比如C沒有堆棧區域的校驗。造成可以編譯的程序，如果你的程序不對他們有事先的預警或者防備的話，你的程序就有天生的安全性問題，緩沖區溢出。但如果你的程序實現已經對這個情況進行了防備你的程序就一定是安全的么。並不一定是。你的程序是否在工程領域就有安全漏洞，比如一個小的命令你沒有檢查他的許可權而將本屬於隱私的信息和盤托出，而你沒有注意到這個。

放在一起談其實很扭曲。

6. 請問如果在C++程序中不寫「return 0；」語句會不會對程序的安全性有影響

如果函數的返回類型允許0,那麼可以這樣寫.
都寫這語句,並不能提高安全性.安全性的降低也不是由於不寫這條語句造成的.

7. 程序編譯錯誤不知道是什麼原因

不能通編譯過的程序實際上還不是合法的程序，因為它不滿足C語言對於程序的基本要求。

檢查語法錯誤的第一要義：集中力量檢查系統發現的第一個錯誤，弄清並改正它。

在編譯過程中系統發現的錯誤主要有兩類：基本語法錯誤和上下文關系錯誤。這些錯誤都在表面上，可以直接看得見。也是比較容易弄清，比較容易解決的。關鍵是需要熟悉C語言的語法規定和有關上下文關系的規定，按照這些規定檢查程序正文，看看存在什麼問題。

編譯中系統發現錯誤都能指出錯誤的位置。不同系統在這方面的能力有差異，在錯誤定位的准確性方面有所不同。有的系統只能指明發現錯誤的行，有的系統還能夠指明行內位置。

一般說，系統指明的位置未必是真實錯誤出現的位置。通常情況是錯誤出現在前，而系統發現錯誤在後，因為它檢查到實際錯誤之後的某個地方，才能確認出了問題，因此報出錯誤信息。要確認第一個錯誤的原因，應該從系統指明的位置開始，在那裡檢查，並從那裡開始向前檢查。

系統的錯誤信息中都包含一段文字，說明它所認定的錯誤原因。應該仔細閱讀這段文字，通常它提供了有關錯誤的重要線索。但也應該理解，錯誤信息未必准確，有時錯誤確實存在，但系統對錯誤的解釋也可能不對。也就是說，在查找錯誤時，既要重視系統提供的錯誤信息，又不應為系統的錯誤信息所束縛。

發現了問題，要想清楚錯誤的真正原因，然後再修改。不要蠻干。在這時的最大誘惑就是想趕快改，看看錯誤會不會消失。但是蠻乾的結果常常是原來的錯誤沒有弄好，又搞出了新的錯誤。

另一個值得注意的地方：程序中的一個語法錯誤常常導致編譯系統產生許多錯誤信息。如果你改正了程序中一個或幾個錯誤，下面的弄不清楚了，那麼就應該重新編譯。改正一處常常能消去許多錯誤信息行。

解決語法錯誤

常見語法錯誤：

1）缺少語句、聲明、定義結束的分號。

2）某種括弧不配對。C語言中括弧性質的東西很多，列舉如下：
( ), [ ], { }, ' ', " ", /* */
在不同位置的括弧不配對可能引起許多不同的錯誤信息。

3）關鍵字拼寫錯誤。

較難認定的典型錯誤：

1）宏定義造成的錯誤。這種東西不能在源程序文件中直接看到，是在宏替換之後出現的。常見的能引起語法錯誤的宏定義錯誤：宏定義中有不配對的括弧，宏定義最後加了不該有的分號，……

解決上下文關系錯誤

1）變數沒有定義。產生這個問題的原因除了變數確實沒有大意外，還可能是變數的拼寫錯誤，變數的作用域問題（在不能使用某個變數的地方想去用那個變數）。

2）變數重復定義。例如在同一個作用域里用同樣名字定義了兩個變數，函數的局部變數與參數重名等。

3）函數的重復定義。可能是用同一個名字定義了兩個不同的函數。或者是寫出的函數原型在類型上與該函數的定義不相符。有時沒有原型而直接寫函數調用也可能導致這種錯誤信息，因為編譯程序在遇到函數調用而沒有看到函數原型或函數定義時，將給函數假定一個默認原型。如果後來見到的函數定義與假定不符，就會報告函數重復定義錯誤。

4）變數類型與有關運算對運算對象或者函數對參數的要求不符。例如有些運算（如 %）要求整數參數，而你用的是某種浮點數。

5）有些類型之間不能互相轉換。例如你定義了一個結構變數，而後要用它給整數賦值。系統容許的轉換包括：數值類型之間的轉換，整數和指針之間的轉換，指針之間的轉換。其餘轉換（無論是隱含的，還是寫出強制）都不允許。參見《C語言程序設計》（K&R）197-199頁。

如何看待編譯警告

當編譯程序發現程序中某個地方有疑問，可能有問題時就會給出一個警告信息。警告信息可能意味著程序中隱含的大錯誤，也可能確實沒有問題。對於警告的正確處理方式應該是：盡可能地消除之。對於編譯程序給出的每個警告都應該仔細分析，看看是否真的有問題。只有那些確實無問題的警告才能放下不管。

注意：經驗表明，警告常常意味著嚴重的隱含錯誤。

常見警告：

1）（局部自動）變數沒有初始化就使用。如果對局部指針變數出現這種情況，後果不堪設想。對於一般局部自動變數，沒有初始化就使用它的值也不會是有意義的。

2）在條件語句或循環語句的條件中寫了賦值。大部分情況是誤將 == （等於判斷）寫成 = 了。這是很常見的程序錯誤，有些編譯程序對這種情況提出警告。

8. 編譯型語言和解釋型語言的區別

編譯型語言在程序執行之前，有一個單獨的編譯過程，將程序翻譯成機器語言就不用再進行翻譯了。

解釋型語言，是在運行的時候將程序翻譯成機器語言，所以運行速度相對於編C/C++ 等都是編譯型語言，而Java，C#等都是解釋型語言。

雖然Java程序在運行之前也有一個編譯過程，但是並不是將程序編譯成機器語言，而是將它編譯成位元組碼（可以理解為一個中間語言）。
在運行的時候，由JVM將位元組碼再翻譯成機器語言。
註：腳本語言一般都有相應的腳本引擎來解釋執行。 他們一般需要解釋器才能運行。JAVASCRIPT,ASP,PHP,PERL,Nuva都是腳本語言。C/C++編譯、鏈接後，可形成獨立執行的exe文件。

編譯型語言：

• 編譯型語言最大的優勢之一就是其執行速度。用C/C++編寫的程序運行速度要比用Java編寫的相同程序快30%-70%。

• 編譯型程序比解釋型程序消耗的內存更少。

• 不利的一面——編譯器比解釋器要難寫得多。

• 編譯器在調試程序時提供不了多少幫助——有多少次在你的C語言代碼中遇到一個「空指針異常」時，需要花費好幾個小時來明確錯誤到底在代碼中的什麼位置。

• 可執行的編譯型代碼要比相同的解釋型代碼大許多。例如，C/C++的.exe文件要比同樣功能的Java的.class文件大很多。

• 編譯型程序是面向特定平台的因而是平台依賴的。

• 編譯型程序不支持代碼中實現安全性——例如，一個編譯型的程序可以訪問內存的任何區域，並且可以對你的PC做它想做的任何事情（大部分病毒是使用編譯型語言編寫的）

• 由於鬆散的安全性和平台依賴性，編譯型語言不太適合開發網際網路或者基於Web的應用。

解釋型語言：

• 解釋型語言提供了極佳的調試支持。一名Java程序員只需要幾分鍾就可以定位並修復一個「空指針異常」，因為Java運行環境不僅指明了異常的性質，而且給出了異常發生位置具體的行號和函數調用順序（著名的堆棧跟蹤信息）。這樣的便利是編譯型語言所無法提供的。

• 另一個優勢是解釋器比編譯器容易實現

• 解釋型語言最大的優勢之一是其平台獨立性

• 解釋型語言也可以保證高度的安全性——這是互聯網應用迫切需要的

• 中間語言代碼的大小比編譯型可執行代碼小很多

• 平台獨立性，以及嚴密的安全性是使解釋型語言成為適合互聯網和Web應用的理想語言的2個最重要的因素。

• 解釋型語言存在一些嚴重的缺點。解釋型應用佔用更多的內存和CPU資源。這是由於，為了運行解釋型語言編寫的程序，相關的解釋器必須首先運行。解釋器是復雜的，智能的，大量消耗資源的程序並且它們會佔用很多CPU周期和內存。

• 由於解釋型應用的decode-fetch-execute（解碼-抓取-執行）的周期，它們比編譯型程序慢很多。

• 解釋器也會做很多代碼優化，運行時安全性檢查；這些額外的步驟佔用了更多的資源並進一步降低了應用的運行速度。

9. C語言有什麼優點什麼缺點有什麼特別之處

優點1. 簡潔緊湊、靈活方便C語言一共只有32個關鍵字,9種控制語句，程序書寫形式自由，主要用小寫字母表示。它把高級語言的基本結構和語句與低級語言的實用性結合起來。 C 語言可以像匯編語言一樣對位、位元組和地址進行操作，而這三者是計算機最基本的工作單元。2. 運算符豐富C語言的運算符包含的范圍很廣泛，共有34種運算符。C語言把括弧、賦值、強制類型轉換等都作為運算符處理。從而使C語言的運算類型極其豐富，表達式類型多樣化。靈活使用各種運算符可以實現在其它高級語言中難以實現的運算。3. 數據結構豐富C語言的數據類型有：整型、實型、字元型、數組類型、指針類型、結構體類型、共用體類型等。能用來實現各種復雜的數據結構的運算。並引入了指針概念，使程序效率更高。另外C語言具有強大的圖形功能，支持多種顯示器和驅動器。且計算功能、邏輯判斷功能強大。4. C是結構式語言結構式語言的顯著特點是代碼及數據的分隔化，即程序的各個部分除了必要的信息交流外彼此獨立。這種結構化方式可使程序層次清晰，便於使用、維護以及調試。C語言是以函數形式提供給用戶的，這些函數可方便的調用，並具有多種循環、條件語句控製程序流向，從而使程序完全結構化。5. C語法限制不太嚴格，程序設計自由度大雖然C語言也是強類型語言，但它的語法比較靈活，允許程序編寫者有較大的自由度。6. C語言允許直接訪問物理地址，可以直接對硬體進行操作由於C語言允許直接訪問物理地址，可以直接對硬體進行操作，因此它既具有高級語言的功能，又具有低級語言的許多功能，能夠像匯編語言一樣對位、位元組和地址進行操作，而這三者是計算機最基本的工作單元，可用來寫系統軟體。7. 生成目標代碼質量高，程序執行效率高一般只比匯編程序生成的目標代碼效率低10へ20%。8. C語言適用范圍大，可移植性好C語言有一個突出的優點就是適合於多種操作系統，如DOS、UNIX；也適用於多種機型。C語言具有強大的繪圖能力，可移植性好，並具備很強的數據處理能力，因此適於編寫系統軟體，三維，二維圖形和動畫，它也是數值計算的高級語言。
缺點1. C語言的缺點主要表現在數據的封裝性上，這一點使得C在數據的安全性上有很大缺陷，這也是C和C++的一大區別。2. C語言的語法限制不太嚴格，對變數的類型約束不嚴格，影響程序的安全性，對數組下標越界不作檢查等。從應用的角度，C語言比其他高級語言較難掌握。[C語言指針]指針是C語言的一大特色，可以說是C語言優於其它高級語言的一個重要原因。就是因為它有指針，可以直接進行靠近硬體的操作，但是C的指針操作也給它帶來了很多不安全的因素。C++在這方面做了很好的改進，在保留了指針操作的同時又增強了安全性。Java取消了指針操作，提高了安全性，適合初學者使用。
特別的地方：C是貼近硬體的語言，所以很高效，所以是操作系統編寫的不二選擇，很多語言的核心都是C寫的，所以，你可以不學C語言，但是C語言無處不在。

10. c語言的語言特點

1、高級語言：它是把高級語言的基本結構和語句與低級語言的實用性結合起來的工作單元。
2、結構式語言：結構式語言的顯著特點是代碼及數據的分隔化，即程序的各個部分除了必要的信息交流外彼此獨立。這種結構化方式可使程序層次清晰，便於使用、維護以及調試。C 語言是以函數形式提供給用戶的，這些函數可方便的調用，並具有多種循環、條件語句控製程序流向，從而使程序完全結構化。
4、代碼級別的跨平台：由於標準的存在，使得幾乎同樣的C代碼可用於多種操作系統，如Windows、DOS、UNIX等等；也適用於多種機型。C語言對編寫需要進行硬體操作的場合，優於其它高級語言。
5、使用指針：可以直接進行靠近硬體的操作，但是C的指針操作不做保護，也給它帶來了很多不安全的因素。C++在這方面做了改進，在保留了指針操作的同時又增強了安全性，受到了一些用戶的支持，但是，由於這些改進增加語言的復雜度，也為另一部分所詬病。Java則吸取了C++的教訓，取消了指針操作，也取消了C++改進中一些備受爭議的地方，在安全性和適合性方面均取得良好的效果，但其本身解釋在虛擬機中運行，運行效率低於C++/C。一般而言，C，C++，java被視為同一系的語言，它們長期占據著程序使用榜的前三名。 優點1、簡潔緊湊、靈活方便
C語言一共只有32個關鍵字，9種控制語句，程序書寫形式自由，區分大小寫。把高級語言的基本結構和語句與低級語言的實用性結合起來。C 語言可以像匯編語言一樣對位、位元組和地址進行操作，而這三者是計算機最基本的工作單元。
2、運算符豐富
C語言的運算符包含的范圍很廣泛，共有34種運算符。C語言把括弧、賦值、強制類型轉換等都作為運算符處理。從而使C語言的運算類型極其豐富，表達式類型多樣化。靈活使用各種運算符可以實現在其它高級語言中難以實現的運算。
3、數據類型豐富
C語言的數據類型有：整型、實型、字元型、數組類型、指針類型、結構體類型、共用體類型等。能用來實現各種復雜的數據結構的運算。並引入了指針概念，使程序效率更高。
4、表達方式靈活實用
C語言提供多種運算符和表達式值的方法，對問題的表達可通過多種途徑獲得，其程序設計更主動、靈活。它語法限制不太嚴格，程序設計自由度大，如對整型量與字元型數據及邏輯型數據可以通用等。
5、允許直接訪問物理地址，對硬體進行操作
由於C語言允許直接訪問物理地址，可以直接對硬體進行操作，因此它既具有高級語言的功能，又具有低級語言的許多功能，能夠像匯編語言一樣對位（bit）、位元組和地址進行操作，而這三者是計算機最基本的工作單元，可用來寫系統軟體。
6、生成目標代碼質量高，程序執行效率高
C語言描述問題比匯編語言迅速，工作量小、可讀性好，易於調試、修改和移植，而代碼質量與匯編語言相當。C語言一般只比匯編程序生成的目標代碼效率低10%～20%。
7、可移植性好
C語言在不同機器上的C編譯程序，86%的代碼是公共的，所以C語言的編譯程序便於移植。在一個環境上用C語言編寫的程序，不改動或稍加改動，就可移植到另一個完全不同的環境中運行。
8、表達力強
C語言有豐富的數據結構和運算符。包含了各種數據結構，如整型、數組類型、指針類型和聯合類型等，用來實現各種數據結構的運算。C語言的運算符有34種，范圍很寬，靈活使用各種運算符可以實現難度極大的運算。
C語言能直接訪問硬體的物理地址，能進行位（bit）操作。兼有高級語言和低級語言的許多優點。
它既可用來編寫系統軟體，又可用來開發應用軟體，已成為一種通用程序設計語言。
另外C語言具有強大的圖形功能，支持多種顯示器和驅動器。且計算功能、邏輯判斷功能強大。
缺點
1、 C語言的缺點主要表現在數據的封裝性上，這一點使得C在數據的安全性上有很大缺陷，這也是C和C++的一大區別。
2、 C語言的語法限制不太嚴格，對變數的類型約束不嚴格，影響程序的安全性，對數組下標越界不作檢查等。從應用的角度，C語言比其他高級語言較難掌握。也就是說，對用C語言的人，要求對程序設計更熟練一些。 1、對齊處理(Alignment）的標准化（包括_Alignas標志符，alignof運算符,aligned_alloc函數以及<stdalign.h>頭文件）。
2、_Noreturn 函數標記，類似於 gcc 的 __attribute__(noreturn)。
3、_Generic關鍵字。
4、多線程(Multithreading）支持，包括：_Thread_local存儲類型標識符，<threads.h>；頭文件，裡麵包含了線程的創建和管理函數。
5、增強的Unicode的支持，基於C Unicode技術報告ISO/IEC TR 19769:2004，增強了對Unicode的支持。包括為UTF-16/UTF-32編碼增加了char16_t和char32_t數據類型，提供了包含unicode字元串轉換函數的頭文件<uchar.h>.
6、刪除了 gets（） 函數，使用一個新的更安全的函數gets_s（）替代。
7、增加了邊界檢查函數介面，定義了新的安全的函數，例如 fopen_s（），strcat_s（）等等。
8、增加了更多浮點處理宏。
9、匿名結構體/聯合體支持，這個在gcc早已存在，C11將其引入標准。
10、靜態斷言（Static assertions），_Static_assert（），在解釋 #if 和 #error 之後被處理。
11、新的 fopen（）模式，（「…x」），類似 POSIX 中的 O_CREAT|O_EXCL，在文件鎖中比較常用。
12、新增 quick_exit（）函數作為第三種終止程序的方式。當 exit（）失敗時可以做最少的清理工作。
13、_Atomic類型修飾符和<stdatomic.h>頭文件。