问：我们所说的在网络应用程序中的内存泄漏和缓冲区溢出是什么意思呢？你可以用一个例子说明如何检测它们吗？

　　答：这两个问题一直困扰着网络应用程序。缓冲区溢出攻击（如Code Red蠕虫病毒），会导致重要的数据泄露，危及系统的安全。不过，首先让我们来看看内存泄漏，因为这将帮助你理解缓冲区溢出。如果程序员为某种类型的变量动态分配了内存空间，而在程序结束之前又没有释放出这部分空间，此时内存泄露就发生了。这将使系统可用的内存更少，而重复运行这样内存泄露的程序或函数，则最终会导致系统崩溃或拒绝服务（denial of service）。下面是一个会导致内存泄露的简单的代码示例：

　　为了防止内存泄漏，当变量不再使用时，程序员应该总是释放所有动态分配的空间。对于简单的应用程序，你可以检查你的代码，以确保每一个新的申请内存的操作都有一个对应的释放操作，或者是采用语言近似配对（language-equivalent pairing）的办法。而对于更复杂的项目，你需要运行可以检测内存错误的应用程序诊断工具，如Purify或LeakTracer。此外，还可以对你的应用程序进行压力测试（stress-test），并监视其内存的消耗情况。

　　缓冲区溢出可以导致应用程序或系统的崩溃，甚至还会使黑客攻击系统，并启动未经认可的进程。当程序或进程试图存储超过缓冲区设定大小的数据到缓冲区时，缓冲区溢出就发生了。例如，黑客故意给出一个比分配给它的内存缓冲区大的数据，以表（form）的形式将数据提交到网络应用程序。这种额外的数据可以覆盖邻近的内存，重写其中的任何有效的数据，往往是重写函数结束时的返回地址。通过编写一个新的返回地址，黑客可以欺骗系统去执行自己的代码。

　　你应该知道，有些语言比其他语言更易产生缓冲区溢出和其他内存泄漏错误。C和C++没有提供内置的检测，因此不能确保写入到缓冲区内的数据是在该缓冲区的范围内。Windows程序员应该使用微软Visual C++.NET2003提供的strsafe.lib和strsafe.h，从而使用那些能够安全处理字符串的函数库。然而，用Java编写的应用程序并没有真正受到缓冲区溢出和内存泄漏的威胁，因为Java是一种强类型（strongly typed）语言。但是，请注意，当和其它语言编写的服务和库交互时，用Java和其他“安全”语言编写的应用程序仍然可能受缓冲区溢出影响。

　　防止缓冲区溢出问题的最好办法是验证所有应用程序收到的输入数据。你甚至可以编写你自己的字符串复制函数，从而可以同时加入数据过滤检测的功能。