Ошибка: функция возвращает указатель на локальный автоматический массив `buf`, который размещён в стеке. После выхода из функции этот объект перестаёт существовать — возвращённый указатель становится висячим (dangling) и обращение по нему даёт неопределённое поведение.
Ключевые пункты и последствия
- Размер буфера сам по себе достаточен: строка `"hello"` имеет длину $5$ символов плюс терминатор `'\0'` → всего $6$, что помещается в буфер длиной $16$. Но это не исправляет основную ошибку — время жизни буфера заканчивается при выходе из функции.
- Неопределённое поведение может проявляться по‑разному: иногда «работает» (данные ещё на стеке), иногда выдаёт мусор, иногда приводит к краху, иногда к утечке чувствительных данных (информационное раскрытие) или к уязвимости управления потоком выполнения при последующем перезаписывании стека.
- Поведение зависит от компилятора/оптимизаций/ABI/OS: в отладочных сборках чаще выглядит работоспособным; в оптимизированных — может сразу ломаться. Инструменты вроде AddressSanitizer/Valgrind обнаружат ошибку (ASan может пометить use-after-return).
- Безопасность: это use-after-return — потенциальная уязвимость, которую можно эксплуатировать для чтения/перезаписи данных в стеке.
Корректные альтернативы (с кратким объяснением)
1) Выделить память в куче (caller обязан освободить):
char* f() {
char* buf = malloc($16$);
if (!buf) return NULL;
strcpy(buf, "hello");
return buf;
}
Плюс: безопасно по времени жизни; Минус: ответственность за free.
2) Вернуть динамическую копию литерала (POSIX):
char* f() { return strdup("hello"); } // проверить NULL
(использует malloc внутри)
3) Использовать статический буфер (не потокобезопасно, повторные вызовы перезапишут данные):
char* f() {
static char buf[$16$];
strcpy(buf, "hello");
return buf;
}
4) Пусть вызывающий предоставляет буфер:
void f(char* buf, size_t bufsize) {
snprintf(buf, bufsize, "%s", "hello");
}
Самый чистый вариант в C API — вызывающий управляет памятью.
5) В системах с strlcpy (безопаснее strncpy):
strlcpy(buf, "hello", $16$);
6) В C++ — возвращать std::string:
std::string f() { return "hello"; }
Рекомендации по безопасности при копировании строк
- Не использовать strcpy без проверки размера; предпочитать snprintf/strlcpy/удостовериться в размере.
- Проверять результат malloc/strdup.
- Явно документировать, кто отвечает за освобождение памяти.
Краткий вывод: главная ошибка — возврат указателя на стековый объект (временной жизненный цикл). Исправлять нужно путём передачи управления памятью вызывающему, выделения в куче или использованием объектов с подходящим временем жизни (static / std::string).