SQL注入原理（一）.pdf

1、web服务器的工作原理 B/S 模式采用了三层结构的设计方法，即从功能角度出发，将应用程序分为三个相对独 立的部分：展现层、业务逻辑层和数据服务层。在三层结构的系统中，展现层主要负责用户 输入，接受用户信息并显示结果；数据服务层负责提供对数据的读取和存储管理工作；而业 务逻辑层包则包含了控制应用处理的所有规则，将展现层和数据服务层连接起来。在该结构 中，业务逻辑层（即服务器端）承担了大部分工作，因此也称之为“瘦客户机/胖服务器” 模式。 B/S 结构实际上是一种基于 Web 的三层结构模式。此时，展现层即为通用 Web 浏览器； 业务逻辑层则由位于 Web 服务器上的各种服务器端应用程序构成；而数据服务层则由诸 SQL Server、Oracle 之类的数据库服务器来提供。B/S模式工作流程如图 5-3所示。 图5-3 B/S模式的工作流程 在 B/S 结构中，服务器端如何处理来自客户端的请求是这种结构的核心问题。一般服务 器端对客户端的请求处理按如下过程进行。 （1）读取分析 HTTP 请求消息 HTTP 请求信息中包含了来自客户端的诸多有用的信息，Web 服务器端在收到 HTTP 请求 后，会根据 HTTP 规定的格式对其进行解析，取出所含的各种信息，并据此分析客户的操作 意图。 （2）将 URL转换为本地文件信息 当服务器收到相应的 URL 请求后，它必须按照服务器的配置情况，将这些 UPL 转换为本 机的地址或其他共享机的地址等，这样它才能知道用户实际上是要夺取哪些资源。 （3）决定是否授权 服务器会根据用户需要访问的资源和当前访问的用户名等属性进行认证，以确定用户请 求这些资源是否合法，是否有相应权限。 （4）处理用户信息，生成相应信息并传送给客户机 通过安全审核，获得授权后，服务器才会真正对用户的请求进行处理。根据用户的请求 读取某些资源文件、运行某些脚本或 CGI 程序，还有可能读取一些数据并进行一定的逻辑处 理等。等这些消息都处理完成后，服务器会将处理结果以 HTML 格式向客户机的浏览器上输 出，并将其显示给用户。 服务器返回的信息分为两类：静态信息和动态信息。 静态信息：所谓静态信息主要指普通 HTML 网页、图片等。这些资源的特点是用户 无论以何种方式请求，返回的资源信息都是相同的，不会发生什么变化，这种页面 通常都是以.htm 或.html结尾。使用此类信息返回的网站我们称之为静态网站。 动态信息：所谓动态信息就是根据用户提交信息的不同反回不同的信息。服务器端 网站程序通常是使用各类服务器端开发语言编写的程序。当用户请求这些资源时， 服务器端返回的信息会因用户提交的信息的不同而变化，在服务器向客户端传送网 页内容时，服务器首先将这些程序处理成客户端可以查看的方式，然后再将数据发 送到客户端，因此，表现为一种动态的响应过程，故称之为动态信息。使用此种机 制的网站我们称为动态网站。 注意,静态网站不具备交互性，而动态网站具备，交互性是指对于同一个页面，根据用 户操作的不同，返回的页面结果也不相同。 2、URL 的结构 URL 用于完整地描述 Internet 上的网页和其他资源的地址。Internet 上的每一个网页都 具有一个唯一的名称标识，这就是 URL 地址，这种地址可以是本地磁盘，也可以是局域网 上的某一台计算机，更多的是 Internet 上的站点。 URL 结构 URL 的一般格式为（带方括号[]的为可选项）： protocol :// hostname[:port] / path / [;parameters][?query]#fragment 例如： :80/WebApplication1/WebForm.asp?user=adminpass=123 格式说明： （1）Protocol ：（协议）：指定使用的传输协议，下表列出 protocol 属性常用的几种名 称： File ： 资源是