Правильное использование fprintf

Question

Это приемлемо?

fprintf(fp,"Just a string"); 

или

fprintf(fp,stringvariable); 

против

fprintf(fp,"%s","Just a string"); 

Это кажется запутанным для меня, как строки переменной (или постоянной) используется как форматирование против самого выхода. Строковая переменная имела формат, специфичный для контента («% s» и т. Д.), Тогда выход был бы не таким, как предполагалось.

Для вывода строки (без форматирования), что лучше?

fprintf(fp,"%s",stringvariable); 

или

fputs(stringvariable,fp); 

Answer 1

Это приемлемо, если вы «знаете» строка переменной, чтобы быть «чистыми», если вы не заботитесь о предупреждении наиболее современные компиляторы генерируют для этой конструкции. Поскольку:

1. Если строка содержит спецификатор преобразования «от несчастного случая», вы призываете к неопределенному поведению.

2. Если вы прочтете эту строку откуда-то, злоумышленник может использовать точку 1. выше своих целей.

Это вообще лучше использовать puts() или fputs(), как они избегают этой проблемы, и, следовательно, не генерирует предупреждение. (puts() также бросается в автоматическом режиме '\n'.)

Функции *puts() также имеют (незначительно) лучшую производительность. *printf(), даже на не более чем "%s" в качестве строки формата еще должен проанализировать этот спецификатор преобразования и подсчитать количество символов, напечатанных для его возвращаемого значения.

Благодаря пользователям «rici» и «Grady Player» для указания предупреждения о символе и компилятора. Кажется, мой C немного ржавый. ;-)