伪静态是相对真实静态来讲的,通常我们为了增强搜索引擎的友好面,都将文章内容生成静态页面,但是有的朋友为了实时的显示一些信息。或者还想运用动态脚本解决一些问题。不能用静态的方式来展示网站内容。但是这就损失了对搜索引擎的友好面。怎么样在两者之间找个中间方法呢,这就产生了伪静态技术。就是展示出来的是以html一类的静态页面形式,但其实是用PHP一类的动态脚本来处理的。。
概述
众所周知,web安全防御一直都是web开发的一个重要的环节,而web安全攻击常用的方法一般有跨站脚本攻击(XSS),跨站请求伪造(CSRF),SQL注入,文件上传,代码执行等等,而当中最基本的可谓是SQL注入了,如果说前两者功能比较鸡肋的话,那么SQL注入会让你真正了解到web安全防御的重要性,因为SQL注入不单只暴露网站的信息和用户的信息,被入侵者恶意删除数据库信息,甚至成为入侵者的控制你服务器的一个入口,想想都觉得有特别可怕,对吧?
最近自己实习工作结束了,正好有时间研究一些关于WEB安全防御的资料,而接下来的一周,我将会写一个关于WEB安全防御的系列博客。今天第一篇是关于防御SQL注入的一种技术——伪静态。
或许有些人认为,伪静态一直以来都不是为了SEO而利用的技术吗?怎么跟SQL注入联系在一起了?解答这个问题之前,我们先一起来观察一下伪静态与非伪静态的区别吧。
- 伪静态一般URL地址格式:
1. http://test.com/php100/id/1/1
2. http://test.com/php100/id/1.html
- 非伪静态一般URL地址格式:
1. http://test.com/php100/test.php?id=1
伪静态是一种URL重写的技术,从而达到隐藏传递的参数以及从而达到防止SQL注入的目的。
准备
在贴上伪静态的函数方法之前,以防PHP基础不好的同学们看懵,先让我们来认识一下函数方法当中的一些PHP函数。
str_replace(find,replace,string,count)
str_replace()函数以其他字符替换字符串中的一些字符(区分大小写)。
preg_replace(
pattern,
replacement,$string)
preg_replace执行一个正则表达式的搜索和替换
explode(separator,string,limit)
explode() 函数把字符串打散为数组。
strrchr(string,char)
strrchr()函数查找字符串在另一个字符串中最后一次出现的位置,并返回从该位置到字符串结尾的所有字符。
basename(path,suffix)
basename() 函数返回路径中的文件名部分。
strtolower(string)
strtolower() 函数把字符串转换为小写。
substr(string string, int start, int [length])
本函数将字符串 string 的第start 位起的字符串取出 length 个字符。
intval(mixed var, int [base])
本函数可将变量转成整数类型。
urldecode(string str);
还原 URL 编码字符串。
eregi(string pattern, string string, array [regs]); 字符串比对解析,与大小写无关。
分析
伪静态方法一:
//伪静态方法一
//原URL地址localhost/php100/test.php?id|1@action|2
$Php2Html_FileUrl = $_SERVER["REQUEST_URI"];
echo $Php2Html_FileUrl.”
”;// /php100/test.php?id|1@action|2
$Php2Html_UrlString = str_replace(“?”,”",str_replace(“/”, “”, strrchr(strrchr($Php2Html_FileUrl, “/”),”?”)));
echo $Php2Html_UrlString.”
”;
$Php2Html_UrlQueryStrList = explode(“@”, $Php2Html_UrlString);
print_r($Php2Html_UrlQueryStrList);
echo “
”;
foreach($Php2Html_UrlQueryStrList as $Php2Html_UrlQueryStr)
{
$Php2Html_TmpArray = explode(“|”, $Php2Html_UrlQueryStr);
print_r($Php2Html_TmpArray);
echo “
”;
$_GET[$Php2Html_TmpArray[0]] = $Php2Html_TmpArray[1];
}
print_r($_GET);
echo “
”;
echo “
”;
echo $_GET[id].”
”;
echo $_GET[action];
?>
伪静态方法二:
//伪静态方法二
// localhost/php100/test.php/1/2
$filename = basename($_SERVER[''SCRIPT_NAME'']);
echo $_SERVER[''SCRIPT_NAME''].”
”;// /php100/test.php
echo $filename.”
”;// test.php
if(strtolower($filename)==’test.php’){
if(!empty($_GET[id])){
$id= ($_GET[id]);
echo $id.”
”;
$action=intval($_GET[action]);
echo $action.”
”;
}else{
$nav=$_SERVER[''REQUEST_URI''];
echo “1:”.$nav.”
”;// /php100/test.php/1/2
$script=$_SERVER[''SCRIPT_NAME''];
echo “2:”.$script.”
”;// /php100/test.php
$nav=ereg_replace(“^$script”,”",urldecode($nav));
echo $nav.”
”; // /1/2
$vars=explode(“/”,$nav);
print_r($vars);// Array ( [0] => [1] => 1 [2] => 2 )
echo “
”;
$id=intval($vars[1]);
$action=intval($vars[2]);
}
echo $id.’&’.$action;
}
?>
伪静态方法三:
function mod_rewrite(){
global $_GET;
$nav=$_SERVER["REQUEST_URI"];
echo $nav.”
”;
$script_name=$_SERVER["SCRIPT_NAME"];
echo $script_name.”
”;
$nav=substr(ereg_replace(“^$script_name”,”",urldecode($nav)),1);
echo $nav.”
”;
$nav=preg_replace(“/^.ht(m){1}(l){0,1}$/”,”",$nav);//这句是去掉尾部的.html或.htm
echo $nav.”
”;
$vars = explode(“/”,$nav);
print_r($vars);
echo “
”;
for($i=0;$i$vars);$i+=2){
$_GET["$vars[$i]“]=$vars[$i+1];
}
return $_GET;
}
mod_rewrite();
$year=$_GET["year"];//结果为’2006′
echo $year.”
”;
$action=$_GET["action"];//结果为’_add’
echo $action;
?>
伪静态方法四:
if(@$path_info =$_SERVER["PATH_INFO"]){
if(preg_match(“/\/(\d+),(\d+),(\d+)\.html/si”,$path_info,$arr_path)){
$gid =intval($arr_path[1]);
$sid =intval($arr_path[2]);
$softid =intval($arr_path[3]);
}else dIE(“Path:Error!”);
}else dIE(‘Path:Nothing!’);
?>
注意: 该四种方法伪静态方法处理的URL格式不一致,得到的伪静态URL格式也不一样。
总结:
在SQL注入防御当中,伪静态虽然起到了一定的作用,但是这只是SQL注入防御中的一个小环节,不能完全依赖于伪静态就能达到防止SQL注入的目的,因为伪静态,主要是为了隐藏传递的参数名,伪静态只是一种URL重写的手段,既然能接受参数输入,所以并不能完全防止注入,要想完全防止,还得从各方面入手。