为了防止缓冲区溢出，我们要么必须通过静态的方法证明每个数组写运算都处于边界之内，要么必须进行适当的动态数组边界检查。因为在C和C++程序中必须手工插入这些边界检查，程序员很容易忘记插人测试代码，或者插人错误的测试代码。人们已经开发了启发式工具来检查是否在调用一个strcpy之前至少进行了某些测试，虽然这些测试不一定是正确的。
当一个由用户提供的精心制作的数据被写到了预想的缓冲区之外并操纵程序的执行时，就发生了缓冲区溢出攻击（buffer overflow attack)。比如，一个C程序可能从用户那里读取一个字符 串h然后使用函数调用