程序员好当吗，也许你感觉程序员就是写写代码，编编软件之类的工作，更有甚者认为程序员就是复制粘贴的搬运工，真的如此吗，如果真要是这么简单就好了，这不是喜明子就是为了省事做了不该做的事情。

面向Google编程的Copy&Paste程序员要小心了！

喜明子最近接了一个C++的私活，在编程的时候需要生成一个字母和数字混合的随机字符串，喜明子不知道该怎么办，于是打开Google，输入关键字搜索，迅速在Stack Overflow找到了答案，还附有相关代码，他心中窃喜，直接复制粘贴过来，稍加修改，问题搞定，爽!

这可能是很多程序员都干过的事情，但是一个研究显示这么做是有风险的。

1

最近一个计算机科学研究小组研究了Stack Overflow上过去十年的72483个C++代码片段，发现了69个有安全缺陷的代码片段，按照CWE (Common Weakness Enumeration) 的规范，被分成29类。

从数量上来看，69个非常少，总数量的千分之一都不到，但是让人震惊的是这69个有安全缺陷的代码片段又出现在了2859个GitHub的开源项目中!

很明显，这些代码都是程序员从Stack Overflow 复制粘贴过去的。

拿文章开头喜明子的例子来讲， 他需要用C++生成一个字母数字混合的随机字符串，但是不知道怎么办，于是就到Stack Overflow上去搜索，他找到了一个ID为440240的答案，这个答案有265个赞同，被浏览了17万多次，应该是个好答案了吧!

于是，喜明子“动心”了，他认为这是一段能解决问题的好代码，Copy , Paste 吧!

然而这段代码是存在着大坑的。

首先是字符串长度的问题，C/C++字符串以0结尾，带有'len'参数的函数应该把这一点考虑进来，但是这段代码只是简单的设置 s[len]=0 ，这就会导致不可预料的行为。

其次rand()函数已经是一个过时的函数了，不应该被调用了，即使是被使用，也应该先调用srand()设置一个随机数种子。

第三，使用rand() % N 试图来产生一个随机数字也不是最佳实践，因为很多随机数生成器生成数字的低字节并不是真正随机的。

看起来很简单的代码却有很多安全的漏洞，如果贸然复制粘贴到自己的项目中，就是埋了一个地雷。

当好程序员先要学习编程，看看都有哪些好的培训班吧

郑州Linux云计算培训课程哪家好_郑州Linux云计算培训机构好不好

郑州Python培训课程哪家好_郑州Python培训机构在哪里多少钱

2

其实，如果喜明子稍微细心一点，他就会看到这个答案有这么几个评论：

实际上已经有人指出代码的错误了，Velkan还明确地说，Stack Overflow应该提供一种机制，让这些过时的、废弃的答案“沉”下去，不能在这里误导大家了。

但是有多少Copy&Paste程序员会细心地看这些评论呢?

这个研究小组的科学家们非常贴心，专门开发了一个Chrome插件，当程序员去查看这些有安全缺陷的代码时，插件就会提示：这段代码有安全漏洞! 试图阻止复制粘贴，并且提供一个更好的解决方案的链接。

3

研究小组的科学家们就这些安全漏洞联系了GitHub项目的开发人员， 从回复来看，只有13.3%的人说他们已经Fix了，有40%的人承认这些漏洞的可能性，但是他们认为输入数据不是动态的，没有安全风险。还有13.3%的人根本不愿意修改。可见安全问题任重而道远啊!

希望能给Copy & Paste程序员敲响一次警钟吧!

做程序员不容易，投机取巧不要做，否则后期造成的问题将会很多很多，最后希望大家都可以用心当好程序员，做一名优秀的程序员，在程序员的路上走的越来越好。

如果你还没有成为一名程序员，那就选择IT培训网，学习前沿的编程技术，如此你才能一探编程的神秘！