文件包含补充CGI技术原理 | Script kiddie's life

web安全

发布日期: 2020-04-09

阅读次数:

CGI技术原理

1.1 CGI的提出

CGI是外部扩展应用程序与WWW服务器交互的一个标准接口。按照CGI标准编写的外部扩展应用程序可以处理客户端（一般是WWW浏览器）输入的协同工作数据，完成客户端与服务器的交互操作。这在实际应用中非常有用，如可以编写CGI外部扩展程序来访问外部数据库，客户端用户可以通过它和WWW服务器来进行数据查询。CGI一般分两种：标准CGI和缓冲CGI。所有的WWW服务器均应支持标准CGI，按标准CGI编写的程序与具体的WWW服务器无关。而按缓冲CGI编写的程序与WWW服务器有关。

1.2 CGI的工作原理

1．标准CGI

客户端、服务器、CGI接口与外部程序间的关系可用图1－1表示（编排者：图略）：如上图所示，服务器是客户端（如浏览器）与扩展程序之间的通道。当客户端的用户完成了一定输入工作（比如填充完HTML文档中的FORM表）之后向服务器发出HTTP请求（称为CGI请求），服务器守护进程接收到该请求后，就创建一个子进程（称为CGI进程）。该CGI子进程将CGI请求的有关数据设置成环境变量，在外部CGI程序与服务器间建立两条数据通道（标准I／O），然后启动URL指定的CGI程序，并与该子进程保持同步，以监测CGI程序的执行状态。子进程通过标准输出流将处理结果传递给服务器守护进程，守护进程再将处理结果作为应答消息回送到客户端。外部CGI程序通过环境变量、命令行参数、标准输入输出与WWW服务器进行通讯，传递有关参数和处理结果。
＊环境变量：当服务器守护进程创建子进程运行CGI程序时，设置相应的环境变量和命令行参数，以传递客户端和服务器的有关信息给该子进程。
＊命令行参数：命令行参数仅在有HTML文档中有SINDEX查询的情况下使用。
＊标准输入输出：当HTTP请求模式采用POST方式时，CGI程序通过标准输入流和有关环境变量来获取客户端传输数据；如采用GET方式时，CGI程序直接通过环境变量获取客户端传输数据。当CGI程序要返回处理结果（一般为HTML文档）给客户端时，它通过标准输出流将该结果数据传递给服务器守护进程。

2．缓冲CGI

标准CGI使用Stdin／Stdout来进行数据通讯，这是由其最初开发环境（Unix操作系统）所决定的。但是许多Windows环境下的编程工具（如VB和Delphi等）是不支持这种I／O方式的，这时就不能用它们来开发基于标准CGI的应用程序。于是有些服务器提出了缓冲CGI的概念。缓冲CGI亦称为WinCGI。此时CGI扩展程序与服务器间通过缓冲CGI而不是标准CGI进行通讯，而缓冲CGI与服务器间的通讯还是通过标准CGI接口。后者由WWW服务器的内置缓冲处理程序实现。这几部分的关系可用图1－2表示（编排者：图略）：缓冲CGI的工作原理与标准CGI相似，不同的是当服务器守护进程接收到客户端的CGI请求时，所建立的CGI子进程将CGI请求的有关数据设置成环境变量外，还将它们保存在输入缓冲区中；通过缓冲处理程序在外部CGI程序与服务器间建立两条数据通道（输入／输出缓冲区）。CGI子进程通过输出缓冲区将处理结果传递给服务器守护进程。此处外部CGI程序通过环境变量和输入／输出缓冲区与WWW服务器进行通讯，传递有关参数和处理结果。此处环境变量的意义同上，不过这些环境变量及其相应值保存在输入缓冲区中。此外，输入缓冲区中还存放客户端的传输数据（如采用POST模式的话）。输出缓冲区用来存放扩展程序的处理结果。

3．标准CGI与缓冲CGI的区别

对CGI扩展程序而言，最主要差别在于数据的I／O不同：对缓冲CGI，服务器与CGI扩展程序间的数据交换是通过缓冲区；而标准CGI是通过标准I／O。使用缓冲CGI可选择更多的开发工具，可以开发Windows95和WindowsNT下的GUI扩展程序；而使用标准CGI所选用的开发工具必须支持标准I／O。只有少数几种WWW服务器支持缓冲CGI，因此基于它的扩展程序兼容性不如标准CGI好。

1．3 CGI与其他WWW技术的关系

CGI作为WWW服务器的标准扩展技术，由上面CGI的基本原理可知，它和许多其它的WWW技术密切相关，如HTTP、HTML、MIME和URL等，下面主要就它与前两种技术的关系进行研究。

1．CGI与HTTP协议

CGI通过HTTP协议在客户端和服务端进行通讯：＊客户端用户代理向服务器发送的请求是HTTP请求消息。该消息中含有处理用户输入的CGI扩展程序的URL值。＊CGI扩展程序在处理结束后，返回给客户端的应答是HTTP应答消息。因此CGI程序的输出数据必须符合HTTP应答消息的语法格式，这在基于CGI标准的开发中非常重要。