玩命加载中 . . .

文件包含补充CGI技术原理


CGI技术原理

1.1 CGI的提出

CGI是外部扩展应用程序与WWW服务器交互的一个标准接口。按照CGI标准编写的外部扩展应用程序可以处理客户端(一般是WWW浏览器)输入的协同工作数据,完成客户端与服务器的交互操作。这在实际应用中非常有用,如可以编写CGI外部扩展程序来访问外部数据库,客户端用户可以通过它和WWW服务器来进行数据查询。CGI一般分两种:标准CGI和缓冲CGI。所有的WWW服务器均应支持标准CGI,按标准CGI编写的程序与具体的WWW服务器无关。而按缓冲CGI编写的程序与WWW服务器有关。

1.2 CGI的工作原理

1.标准CGI

客户端、服务器、CGI接口与外部程序间的关系可用图1-1表示(编排者:图略):如上图所示,服务器是客户端(如浏览器)与扩展程序之间的通道。当客户端的用户完成了一定输入工作(比如填充完HTML文档中的FORM表)之后向服务器发出HTTP请求(称为CGI请求),服务器守护进程接收到该请求后,就创建一个子进程(称为CGI进程)。该CGI子进程将CGI请求的有关数据设置成环境变量,在外部CGI程序与服务器间建立两条数据通道(标准I/O),然后启动URL指定的CGI程序,并与该子进程保持同步,以监测CGI程序的执行状态。子进程通过标准输出流将处理结果传递给服务器守护进程,守护进程再将处理结果作为应答消息回送到客户端。外部CGI程序通过环境变量、命令行参数、标准输入输出与WWW服务器进行通讯,传递有关参数和处理结果。
*环境变量:当服务器守护进程创建子进程运行CGI程序时,设置相应的环境变量和命令行参数,以传递客户端和服务器的有关信息给该子进程。
*命令行参数:命令行参数仅在有HTML文档中有SINDEX查询的情况下使用。
*标准输入输出:当HTTP请求模式采用POST方式时,CGI程序通过标准输入流和有关环境变量来获取客户端传输数据;如采用GET方式时,CGI程序直接通过环境变量获取客户端传输数据。当CGI程序要返回处理结果(一般为HTML文档)给客户端时,它通过标准输出流将该结果数据传递给服务器守护进程。

2.缓冲CGI

标准CGI使用Stdin/Stdout来进行数据通讯,这是由其最初开发环境(Unix操作系统)所决定的。但是许多Windows环境下的编程工具(如VB和Delphi等)是不支持这种I/O方式的,这时就不能用它们来开发基于标准CGI的应用程序。于是有些服务器提出了缓冲CGI的概念。缓冲CGI亦称为WinCGI。此时CGI扩展程序与服务器间通过缓冲CGI而不是标准CGI进行通讯,而缓冲CGI与服务器间的通讯还是通过标准CGI接口。后者由WWW服务器的内置缓冲处理程序实现。这几部分的关系可用图1-2表示(编排者:图略):缓冲CGI的工作原理与标准CGI相似,不同的是当服务器守护进程接收到客户端的CGI请求时,所建立的CGI子进程将CGI请求的有关数据设置成环境变量外,还将它们保存在输入缓冲区中;通过缓冲处理程序在外部CGI程序与服务器间建立两条数据通道(输入/输出缓冲区)。CGI子进程通过输出缓冲区将处理结果传递给服务器守护进程。此处外部CGI程序通过环境变量和输入/输出缓冲区与WWW服务器进行通讯,传递有关参数和处理结果。此处环境变量的意义同上,不过这些环境变量及其相应值保存在输入缓冲区中。此外,输入缓冲区中还存放客户端的传输数据(如采用POST模式的话)。输出缓冲区用来存放扩展程序的处理结果。

3.标准CGI与缓冲CGI的区别

对CGI扩展程序而言,最主要差别在于数据的I/O不同:对缓冲CGI,服务器与CGI扩展程序间的数据交换是通过缓冲区;而标准CGI是通过标准I/O。使用缓冲CGI可选择更多的开发工具,可以开发Windows95和WindowsNT下的GUI扩展程序;而使用标准CGI所选用的开发工具必须支持标准I/O。只有少数几种WWW服务器支持缓冲CGI,因此基于它的扩展程序兼容性不如标准CGI好。

1.3 CGI与其他WWW技术的关系

CGI作为WWW服务器的标准扩展技术,由上面CGI的基本原理可知,它和许多其它的WWW技术密切相关,如HTTP、HTML、MIME和URL等,下面主要就它与前两种技术的关系进行研究。

1.CGI与HTTP协议

CGI通过HTTP协议在客户端和服务端进行通讯:*客户端用户代理向服务器发送的请求是HTTP请求消息。该消息中含有处理用户输入的CGI扩展程序的URL值。*CGI扩展程序在处理结束后,返回给客户端的应答是HTTP应答消息。因此CGI程序的输出数据必须符合HTTP应答消息的语法格式,这在基于CGI标准的开发中非常重要。

2.CGI与HTML语言

CGI扩展程序的输出数据(HTTP应答消息)一般有两种:符合MIME类型的文档(最普遍的是HTML文档,表示为text/html);指向其它文档的URL链接。这两种方式都与HTML语言有关,数据的组织须符合HTML语法格式。

来自 https://www.cnblogs.com/lidabo/p/5756248.html


文章作者: Lmg
版权声明: 本博客所有文章除特別声明外,均采用 CC BY 4.0 许可协议。转载请注明来源 Lmg !
 上一篇
文件上传漏洞及绕过 文件上传漏洞及绕过
文件上传的目的:上传代码文件让服务器执行(个人理解)。文件上传的绕过脑图 一.js本地验证绕过原理:本地的js,F12查看源代码发现是本地的验证 绕过姿势1.因为属于本地的代码可以尝试修改,然后选择php文件发现上传成功。 2.采用bu
2020-04-20
下一篇 
文件包含1 文件包含1
漏洞概述产生的原因:主要原因是在编写代码的时候,调用(包含)其他文件,让其他文件按照php代码执行,这就产生了漏洞,如果调用的时候没用经过过滤或者严格的定义,可以被用户所控制,用户可以通过包含其他文件,来恶意的执行php代码。示例代码:例如
2020-04-09
  目录