Abstract: 针对 HTTP的协议基础进行了简单的学习,掌握 HTTP 相关内容, 安装 burpsuite 软件,熟练使用该软件。对 PDO模式下防止 SQL 注入的理解。

Table of Contents

  1. HTTP协议基础
    1. 计算机网络模型基础
  2. HTTP协议
  3. BurpSuite
  4. PDO模式下防止SQL注入

HTTP协议基础

计算机网络模型基础

OSI 模型总共分为七层,从下到上分别是:物理层、数据链路层、网络层、运输层、会话层、表示层和应用层。

TCP/IP 模型分为五层,从下到上是:物理层、链路层、网络层、运输层和应用层。

  • OSI模型和 TCP/IP 模型
OSI 模型 TCP/IP 模型 各层的解释
应用层 应用层 为应用程序提供服务
表示层 应用层 数据格式转化、数据加密
会话层 应用层 建立、管理和维护会话
传输层 传输层 建立、管理和维护端到端的连接
网络层 网络层 IP 选址及路由选择
数据链路层 数据链路层 提供介质访问和链路管理
物理层 物理层 物理层
  • 过程如下:
  1. 应用层数据,先按照运输层协议标准,封装到运输层数据里(数据段);
  2. 接着运输层的数据,会按照网络层协议的标准,封装到网络层数据里(数据包/报文);
  3. 接着这些数据包会按照链路层的协议标准,封装链路层数据里(帧);
  4. 这些数据帧,按照物理层的电气特性,转换为网络中 0101比特流发送出去
  5. 网络会把这些流数据,不断地拆封再拆封,直到送到目标主机,然后由目标主机一层一层拆封数据,进行反解析,最终完成一次数据传递。
层数 作用
物理层 规定电气特性。如调制解调器、光导纤维等
数据链路层 ARQPPP等协议,数据单元为帧,典型设备有:网卡/网桥/交换机
网络层 IP/ICMP等协议,数据单元为数据包,典型设备为:路由器/防火墙/多层交换机
传输层 TCP/UDP等协议,数据单元为数据段,典型设备有:进程和端口
应用层 DHCP/FTP/HTTP等协议,典型设备有:应用程序(FTP/SMTP/HTTP)

越往高走,越偏向软件化。

HTTP协议

HTTP 协议是超文本传输(转移)协议,基于 TCP/IP 通信协议来传递数据,是一个属于应用层的面向对象的协议。

常用状态码

状态码 意义
200 OK 从客户端发来的请求在服务器端被正常处理
204 No Content 服务器接收的请求已成功处理,但在返回响应报文中不含实体的主体部分
301 Moved Permanently 永久性重定向
302 Found 临时性重定向
304 Not Modified 客户端发送附带条件请求时,服务器端允许请求访问资源,但未满足条件的情况
400 Bad Request 请求报文中存在语法错误
403 Forbidden 对请求资源的访问被服务器拒绝
404 Not Found 服务器上无法找到请求的资源
500 Internal Server Error 服务器端在执行请求时发生了错误

BurpSuite

使用burpsuite抓取新闻管理系统的数据包

新闻初始界面

点击 forward

点击用户界面

注册成功后,登录

评论

读取新闻

进入个人信息页面

PDO模式下防止SQL注入

使用 PDOprepare 方式,主要是提高 SQL 模板查询性能、阻止 SQL 注入。