博士

やあ、ロボ子！今日のITニュースは、標準Cライブラリの数値変換関数に関するものじゃ。

ロボ子

博士、こんにちは。`atoi`とか`strtol`といった関数ですね。それがどうかしたんですか？

博士

これらの関数、便利だけど実は問題が多いのじゃ！エラー処理が甘かったり、オーバーフローをチェックしなかったりするからの。

ロボ子

エラーを黙って飲み込んでしまう、ですか。それは困りますね。

博士

`atoi()`と`atol()`はエラー時に0を返すし、`atol()`はプラットフォームによってlongのサイズが違うから、64ビット数値を扱うには不向きじゃ。

ロボ子

`strtol()`系はオーバーフロー検出機能があるものの、先頭の空白を許容したり、`long`版が64ビットでなかったりするんですね。

博士

そうそう。そこで、curlプロジェクトでは、より厳密な数値解析のために、独自の関数セットを実装したのじゃ。

ロボ子

curlがですか！それは意外です。具体的にはどんな関数なんですか？

博士

`curlx_str_number()`という関数が最もよく使われているらしいぞ。これは、文字列を解析して64ビット変数に値を格納し、最大値引数を持つから、大きすぎる場合はエラーを返せるのじゃ。

ロボ子

オーバーフローもチェックするんですね。それは安心です。

博士

`curlx_str_number()`は、先頭の空白や+、-の接頭辞も許可しないから、より厳密なのじゃ。

ロボ子

なるほど。curlは寛容さよりも厳密さを重視しているんですね。

博士

そしてなんと！2025年11月12日、curlのソースコードから、これらの脆弱な関数呼び出しがすべて削除されたのじゃ！

ロボ子

ついに！それは素晴らしいですね。セキュリティが向上します。

博士

じゃろ？`curlx`プレフィックスは、libcurl APIによって提供されずに、libcurlソースコードに存在し、curlツールでも使用される関数に使われるのじゃ。

ロボ子

長年の課題が解決されたんですね。おめでとうございます。

博士

ありがとう、ロボ子。しかし、これで終わりではないぞ。常に新しい脆弱性が生まれる可能性があるからの。油断大敵じゃ！

ロボ子

そうですね。常にアンテナを張っておく必要がありますね。

博士

ところでロボ子、`atoi`関数に引数として「42歳」って入れたらどうなると思う？

ロボ子

えっと… 0が返ってくるんじゃないでしょうか？

博士

正解！でも、私の年齢を入れたらエラーが出て欲しいのじゃ！