所以我在浏览freelancer.com后有这个问题。 它(自由职业者)所做的是,每当新用户注册时,它会自动为该用户生成一个html页面。 例如,用户的用户名是joshm,然后自由职业者会生成www.domain.com/u/joshm.html,不仅会生成此页面,还会在此.html页面中动态提取内容。
使用此技术比使用www.domain.com/users.php?id=1(易受XSS / SQL注入攻击)更好。
我的问题是,这个页面是如何生成的?以及如何动态地将信息提取到此HTML页面?
感谢。
答案 0 :(得分:3)
使用此技术比使用www.domain.com/users.php?id=1(易受XSS / SQL注入攻击)更好。
如果你不知道自己在做什么,这两种技术同样容易受到你所受的任何漏洞的影响。使用查询字符串不再是不安全的。
此外,/u/joshm.html很可能只是一个“面具”。该页面仍然使用数据库查询动态处理,并且与users.php?name=joshm一样易受攻击。 URL与文件不同。仅仅因为URL说“joshm.html”并不意味着硬盘上任何地方都存在该名称的文件。 Web服务器可以以任何方式回答对此URL的请求,它不必使用磁盘上的文件。 Web服务器是一个侦听端口80并响应HTTP请求的程序。它与文件系统本身无关。 .html是一种很好的RESTful方式,用于指定您希望用户joshm信息的HTML版本;它并不意味着有一个该名称的文件。
有关此主题的更多信息,请查看“网址重写”和“漂亮网址”。