The importance of the FORMAT_MESSAGE_IGNORE_INSERTS flag - The Old New Thing (microsoft.com)https://devblogs.microsoft.com/oldnewthing/20071128-00/?p=24353

Raymond Chen 2007年11月28日

---

FORMAT_MESSAGE_IGNORE_INSERTS 标志的重要性

简要

文章讨论了使用FormatMessage函数获取Win32错误代码对应的错误消息时，必须使用FORMAT_MESSAGE_IGNORE_INSERTS标志，以避免因消息中的插入序列导致的潜在错误和安全风险。

 

正文

        你可以使用 FormatMessage 函数，并带上 FORMAT_MESSAGE_FROM_SYSTEM 标志，以指明你传递的消息编号是一个错误代码，并且消息应该在系统消息表中查找。这是一个更具体情况的特例，即你不能控制消息内容，而当你不能控制消息内容时，你最好传递 FORMAT_MESSAGE_IGNORE_INSERTS 标志。

        让我们看看如果你不这么做会发生什么。

#include <windows.h>
#include <stdio.h>
#include <tchar.h>
int __cdecl main(int argc, char **argv)
{
    TCHAR buffer[1024];
    DWORD dwError = ERROR_BAD_EXE_FORMAT;
    DWORD dwFlags = FORMAT_MESSAGE_FROM_SYSTEM;
    DWORD dwResult = FormatMessage(dwFlags, NULL, dwError,
                                    0, buffer, 1024, NULL);
    if (dwResult) {
        _tprintf(_T("Message is \"%s\"\n"), buffer);
    } else {
        _tprintf(_T("Failed! Error code %d\n"), GetLastError());
    }
    return 0;
}

        如果你运行这个程序，你会得到：

Failed! Error code 87

 

        错误 87 是 ERROR_INVALID_PARAMETER（无效参数错误）。出了什么问题呢？

让我们传递 FORMAT_MESSAGE_IGNORE_INSERTS 标志来看看消息是什么。

        将 dwFlags 的值更改为：

DWORD dwFlags = FORMAT_MESSAGE_FROM_SYSTEM |
                FORMAT_MESSAGE_IGNORE_INSERTS;

        再次运行程序。这次你会得到：

Message is "%1 is not a valid Win32 application."

 

        啊哈，现在我们看到了问题所在。

        对应 ERROR_BAD_EXE_FORMAT 的消息包含一个插入符 %1。

        如果你不传递 FORMAT_MESSAGE_IGNORE_INSERTS 标志，FormatMessage 函数将会在参数列表（或参数数组）中插入第一个参数。但我们没有传递参数列表，所以函数失败了。

        实际上，我们很幸运。

        如果我们传递了参数列表或参数数组，函数会插入相应的字符串，即使我们传递的参数列表中第一个位置没有字符串。

        如果你不能控制格式字符串，那么你必须传递 FORMAT_MESSAGE_IGNORE_INSERTS 来防止 %1 造成麻烦。

        如果有人特别恶劣，他们可能会决定给你一个包含 %9 的格式字符串，这几乎可以肯定是你提供的插入符数量的多倍。

        结果是缓冲区溢出，很可能是崩溃。

        这对一些人来说可能是显而易见的，就像你不应该传递你不能控制的字符串作为 printf 函数的格式字符串一样，但我觉得有必要提一下。

        凌晨 2 点