以最有效的方式读取CGI POST数据

时间:2010-07-14 02:07:48

标签: c parsing post cgi storage

我非常需要一种方法来挖掘潜在的大量CGI提供的POST数据。

通过读取GET数据,这没什么大不了的,因为我可以根据需要经常重新请求QUERY_STRING环境变量,但是使用通过stdin提供的POST数据。我只能一次阅读它并且必须将它存储在某个地方。

我当前的方法包括读取临时文件中的一大堆POST数据,当程序退出时将被删除并扫描它以找到我想要的键。 在GET解析方法中,我可以strtok()在QUERY_STRING上,因为GET数据具有相当低的限制,因此可以安全地在RAM中获取,但POST数据可以是从空到“name = Bob”到4 Gigabye电影的任何内容文件。

所以,这是我目前的方法:

int get_post_data(const char *s_key, char *target, size_t target_size)
{
   FILE *tmp;
   int ret_val = -1;

   /* postdata_temp = global variable containing the temporary file name */
   if ((tmp = fopen(postdata_tempfile, "r")) == NULL)
      return -1;
   else
   {
      char *buffer = NULL;
      char *temp_buffer = NULL;
      int buffer_size;
      int i;

      if ((buffer = malloc(BUFFER_SIZE)) == NULL)
         return -1;

      memset(buffer, 0, sizeof(BUFFER_SIZE));
      buffer_size = BUFFER_SIZE;

      for (i = 0;; i++)
      {
         int c = fgetc(tmp);

         if ((c == '&') || feof(tmp))
         {
            char *key = strtok(buffer, "=");
            char *val = strtok(NULL, "");            

            if (key)
            {
               if (strcmp(s_key, key) == 0)
               {
                  if (val)
                  {
                     strncpy(target, val, target_size);
                     ret_val = strlen(val);
                  }
                  else
                  {
                     target = NULL;
                     ret_val = 0;
                  }

                  break;
               }
            }

            if (feof(tmp))
               break;

            memset(buffer, 0, buffer_size);
            i = -1; /* because it will be 0 when the fgetc() is called the 
                     * next time */
         }
         else
         {
            if (!(i < buffer_size))
            {
               buffer_size += BUFFER_SIZE;

               if ((temp_buffer = realloc(buffer, buffer_size)) == NULL)
               {
                  free(temp_buffer);
                  free(buffer);
                  target = NULL;

                  return -1;
               }
               else
                  buffer = temp_buffer;
            }

            buffer[i] = c;
         }

      }

      free(buffer);

      // printf("Final buffer size: %d<br />\n", buffer_size);
   }

   fclose(tmp);

   return ret_val;
}

这确实有效,我可以调用get_post_data("user_password", pass, sizeof(pass));,检查返回值(&lt; 0 =错误,= 0 =键存在,但值为NULL,> 0 =数据长度),但它似乎也是肥胖。我的意思是..我想要搜索的每个POST参数的巨大IO开销只是为了没有整个字符串在我的RAM中,以便上传潜在的大文件?

Stackoverflow的想法是什么?

2 个答案:

答案 0 :(得分:1)

如果你想避免将大文件加载到RAM中,你可以使用内存映射文件 - 不可移植,但这是正确的方法。如果您的平台是POSIX,则可以使用mmap()

顺便说一句,我没有完全阅读或测试你的代码,但我想知道使用strtok()是否正确,因为它会破坏数据。如果您的数据可能是二进制文件,我也想知道如何使用str...()函数,但我不知道CGI部分是如何工作的,所以你可能就在那里。

答案 1 :(得分:0)

我认为拒绝大于设定限制的POST请求会更容易,比如2MB。

那样:

  • 您可以使用可管理大小的数据块。
  • 您可以防止恶意的4GB POST请求。