Mario Torre, aggrappandosi alla tastiera per non cadere, ha scritto: > > Se non sbaglio ne parlo' Matteo qualche tempo fa, vi posto il > messaggio originale, e subito dopo corro a scaricarlo... :) Uhm, in sintesi mi pare che questo attrezzo vada a cercare chiamate a funzioni considerate "pericolose", e vada a beccare costrutti "pericolosi"). Esempio di tipico costrutto che sembra a posto ma non e`: char buffer[1024]; char * stringa; buffer[1023] = '\0'; stringa = ... snprintf(buffer,1023,stringa) Notare che se per caso <stringa> contiene delle sequenze particolari come `%s' o `%d' o simili, snprintf() cerca di andare a beccarsi parametri che non ci sono con discreto ingorgo sullo stack... Ad una rapida occhiata, l'attrezzo sembrerebbe in grado di segnalare di queste cose (oltre che l'uso di funzioni come gets(), system() e soci). Peraltro, quello che avevo segnalato io era un qualcosa di molto piu` sofisticato: tentava di capire se era possibile che vi fossero particolari percorsi nel codice (leggi: particolari condizioni di esecuzione) per cui si andavano a violare delle premesse... il che e` piu` subdolo. -- UNIX diapers by Pannolini USPTO 2039887 http://www.uspto.gov Matteo Ianeselli ianezz AT sodalia.it (+39) 0461 316452 Visita il LinuxTrent: http://www.linuxtrent.it -- Per iscriversi (o disiscriversi), basta spedire un messaggio con SOGGETTO "subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxxxxxx