超今さらですが、C1x？に、セキュア文字列関数群*1が正式に入るみたいですね。

http://www.open-std.org/JTC1/SC22/WG14/www/projects#24731-1

で、google:strcpy_sで検索すると、strcpyなんて使うな。安全でセキュリティの高いstrcpy_sを使え！という旨の文面がいっぱいでてくるわけですよ。馬鹿だと思いますね。この「セキュア」文字列関数群を最初に考えた人も、乗せられて使え使え言ってる人達も……。勿論strncpy*2やstrlcpyも含めて。

確かにバッファオーバーフローは阻止できますよ。スタックが上書きされて暴走したり悪意のあるコードが実行されたりするのは阻止できますよ。でも、その結果、データが欠けたまま処理が進んでしまうわけですよ。規格ではset_constraint_handler_sでオーバーフロー時のハンドラを設定できたり、VC++ではSEHに乗せてくれたりするのはマシな動作だと思います。落ちたほうがマシ。

恐らくこの背景には、従来固定長で確保した領域を使っていたレガシーコードを、簡単に、「セキュア」に書き換えることができる、というのがあるのだとは思いますが……新規コードでそれを勧めるなよ……と思います。

新規コードを書く際に恐らく正しいのは、アプリケーションコード側で領域が足りないことを検出してなんか*3するか、領域は全部動的に確保するか、ではないでしょうか。そして、このどちらの方法であっても、オーバーフローなんて起きないので、strcpy_sなんて最初から要らないわけですよ。通常のstrcpyで充分、いや長さを調べ済みですので効率も考えたらmemcpy*4が最適！memcpyに加えて次の1バイトに0を書き込んでくれる関数があったら便利ですのに。動的に領域を確保する場合(新しくコードを書く場合他に制約がなければほとんどこっちになると思います)はstrdupが超便利！strdup最強！strdupこそ至高！

で、本来、セキュア文字列関数群として実装されるべきだったのは、(strcpyは既にstrdupがありますので)strcatやsprintfの動的確保版(名前は……malloc_and_strcatなりstrcatdupなり……まあなんでもいい)だったはずです。*5 *6領域をスタックに取る版(名前は……alloca_and_strdup？*7 )もあればもっと便利でしょう。

勿論私はセキュリティの専門家でもC言語の専門家でもありませんので、実はstrcpy_sにはなんか神の魔法がかかっていて、これさえ使っておけば万事OK！なのかもしれませんが……。

あれ？なんかこれ前に書いた気がするな……？まあいいや、最近(というかもう何年もですが)Adaの標準ライブラリを再実装して遊んでまして、そろそろAda.Strings.Fixedに差し掛かってきたのですが、まあそういうことです以下略。

追記

http://twitter.com/sscrisk/status/27385893614

あれ……そうでしたっけ……(汗

http://www.cert.org/secure-coding/managedstring.html

こんなのもあるようです。
っていうか最初から↓貼ればそれだけで済んだ！！

Defensive Programming for Red Hat Enterprise Linux

どうにも私はこのへんの歴史とか経緯を全く把握していないので、頓珍漢なことを書いてしまったのかも……というか、書いたからこそ反応が貰えてそこからこれらのURLを知ることができた始末……。

追記
同じような感覚の人がいたので嬉しくなってリンク。
http://ponner.blog104.fc2.com/blog-entry-211.html