Как предотвратить включение файлов из системных каталогов?

godbolt.org решает аналогичную проблему путем запрещающие абсолютные и относительные пути в #includes:

Входные данные:

#include "/etc/passwd"

Выход:

<stdin>:1:1: no absolute or relative includes please
Compilation failed

Это может быть достигнуто путем запуска простой проверки исходных текстов перед вызовом компилятора. Чекер должен только grep для #include директивы и проверить пути против нарушений таких ограничений. Черновая версия такого скрипта (может использоваться с одним исходным файлом):

check_includes:

#!/bin/bash

if (( $# != 1 ))
then
echo "Usage: $(basename "$0") source_file"exit 1
fi

join_lines()
{
sed '/\\$/ {N;s/\\\n//;s/^/\n/;D}' "$1"}

absolute_includes()
{
join_lines "$1"|grep '^\s*#\s*include\s*["<]\s*/'
}

relative_includes()
{
join_lines "$1"|grep '^\s*#\s*include'|fgrep '../'
}

includes_via_defines()
{
join_lines "$1"|grep '^\s*#\s*include\s*[^"< \t]'
}

show_and_count()
{
tee /dev/stderr|wc -l
}

exit_status=0
if (( 0 != $(absolute_includes "$1"|show_and_count) ))
then
echo 1>&2 "ERROR: $1 contains absolute includes"exit_status=1
fi
if (( 0 != $(relative_includes "$1"|show_and_count) ))
then
echo 1>&2 "ERROR: $1 contains relative includes"exit_status=1
fi
if (( 0 != $(includes_via_defines "$1"|show_and_count) ))
then
echo 1>&2 "ERROR: $1 contains includes via defines"exit_status=1
fi
exit $exit_status

Предполагая, что входной файл может быть скомпилирован без ошибок, этот скрипт определяет #includes, которые содержат абсолютные или относительные пути. Он также обнаруживает включения, сделанные с помощью макроса, как показано ниже (это может быть использовано для обхода проверки пути):

#define HEADER "/etc/password"#include HEADER