从get和post的区别说缓冲区溢出

网页表单（form）提交时可选择2种提交方式：get和post。我们大都知道提交表单数据时应该使用post，也知道get方式不安全。是什么造成了get和post的区别，本文将从http协议层面分析，来说说get和post境遇不同的根本原因。

 

先来看看一个简单的hello woeld页面的http消息：

浏览器请求”http://127.0.0.1/test/hello.html”发送的http协议报文：

1. GET /test/hello.html HTTP/1.1
2. Host: 127.0.0.1:80
3. User-Agent: Mozilla/5.0 (X11; U; Linux i686; zh-CN; rv:1.8.1.11) Gecko/20071204 Ubuntu/7.10 (gutsy) Firefox/2.0.0.11
4. Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5
5. Accept-Language: zh-cn,zh;q=0.5
6. Accept-Encoding: gzip,deflate
7. Accept-Charset: gb2312,utf-8;q=0.7,*;q=0.7
8. Keep-Alive: 300
9. Connection: keep-alive

捕获http报文需要使用工具程序（这里我使用自己编写的TCP代理程序来截获http消息）。请求协议报文第1行“GET”表明了提交方式，“/test/hello.html”表示请求的文家及路径，“HTTP/1.1”表示使用的http协议版本。第2行表示请求的服务器IP和端口，注意“80”是默认添加上的端口号。后面几行描述了客户端系统、浏览器的一些信息。

WEB服务器应答报文：

1. HTTP/1.1 200 OK
2. Server: Apache-Coyote/1.1
3. Content-Type: text/html;charset=GBK
4. Content-Length: 145
5. Date: Wed, 26 Dec 2007 18:00:59 GMT
6.  
7. <!– HTML网页文件实例  –>
8. <html>
9.     <head>
10.         <title>你好，世界！</title>
11.     </head>
12.     <body>
13.         <h3>世界你好！</h3>
14.     </body>
15. </html>

“200 OK”表示服务应答编码，表示成功，常见的还有“404”、“500”等。“Content-Length: 145”表示应答网页的长度，“Date: Wed, 26 Dec 2007 18:00:59 GMT”是应答时间，在这之后空一行，然后是网页正文。

对于http通讯，总是像上面这样客户端（浏览器）发出请求，服务端（web服务器）给予应答，表单提交也同样如此，下面分析一个简单的表单。

表单提交

1. get方式提交：

1. <form name="form1" method="get" action="result.jsp">
2. 姓名：<input type="text" name="userName" value=""><br>
3. 密码：<input type="password" name="password" value=""><br>
4. 性别：<input type="radio" name="sex" value="m">男 <input type="radio" name="sex" value="f">女<br>
5. 爱好：<input type="checkbox" name="interest" value="dance">跳舞
6.          <input type="checkbox" name="interest" value="sing">唱歌
7.          <input type="checkbox" name="interest" value="basketball">篮球<br>
8. <br>    <input type="submit" name="submit" value="提交">
9. </form>

注意在<form>标签中，method=”get”。

http请求协议报文：

1. GET /get_post/result.jsp? userName=lisi&password=1111&sex=f&interest=dance&interest=sing&submit=%CC%E1%BD%BB HTTP/1.1
2. Host: 127.0.0.1:8090
3. User-Agent: Mozilla/5.0 (X11; U; Linux i686; zh-CN; rv:1.8.1.11) Gecko/20071204 Ubuntu/7.10 (gutsy) Firefox/2.0.0.11
4. Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5
5. Accept-Language: zh-cn,zh;q=0.5
6. Accept-Encoding: gzip,deflate
7. Accept-Charset: gb2312,utf-8;q=0.7,*;q=0.7
8. Keep-Alive: 300
9. Connection: keep-alive

get方式表单的提交数据显示在请求http协议的第一行，和请求地址用“？”间隔（这一行同样会显示在浏览器地址栏中）。从“ userName=lisi&password=1111&sex=f&interest=dance&interest=sing&submit=%CC%E1%BD%BB”可以分析出表单提交的数据：

■ userName=lisi 姓名文本框输入的是“lisi”

■ password=1111 密码文本框输入的是“111”

■ sex=f 性别单选钮选择的是“女”

■ interest=dance&interest=sing 爱好多选框选择了2个：跳舞、唱歌

■ submit=%CC%E1%BD%BB 点击“提交”按钮进行提交（submit按钮也是表单元素，同样会提交给服务端），“%CC%E1%BD%BB”是按钮的value属性”提交”两个汉字的gb2312的16位编码。

下面看看post方式和get有什么不同。

2. post方式提交：

将<form>中的method=”get”改为method=”post”，提交同样的数据，http请求协议报文如下：

1. POST /get_post/result.jsp HTTP/1.1
2. Host: 127.0.0.1:8090
3. User-Agent: Mozilla/5.0 (X11; U; Linux i686; zh-CN; rv:1.8.1.11) Gecko/20071204 Ubuntu/7.10 (gutsy) Firefox/2.0.0.11
4. Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,*/*;q=0.5
5. Accept-Language: zh-cn,zh;q=0.5
6. Accept-Encoding: gzip,deflate
7. Accept-Charset: gb2312,utf-8;q=0.7,*;q=0.7
8. Keep-Alive: 300
9. Connection: keep-alive
10. Content-Type: application/x-www-form-urlencoded
11. Content-Length: 82
12.  
13. userName=lisi&password=1111&sex=f&interest=dance&interest=sing&submit=%CC%E1%BD%BB

区别

对比一下get和post方式的请求http协议报文，注意以下几点：

■ 协议第一行起始，get方式声明为“GET”，post方式声明为“POST”。

■ 提交数据“userName=lisi&password=1111&sex=f&interest=dance&interest=sing&submit=%CC%E1%BD%BB”，对于get方式在第一行，对于post方式在最后一行，两种方式对表单数据的编码完全一致。

■ post方式多了3行: Content-Type: application/x-www-form-urlencoded，Content-Length: 82，和数据前的空行。

仅从以上几点，很难想象出get和post究竟有什么实质性的区别，为什么在使用中差别如此之大，真是以讹传讹吗？就像“菠菜含铁量高”被误传了十来年，直到有人证明当年计算铁含量时标错了小数点。

实质差别只有一点：“Content-Length: 82”，在post中表示了提交数据“userName=lisi&password=1111&sex=f&interest=dance&interest=sing&submit=%CC%E1%BD%BB”的长度，而get中没有。

正是此导致服务端在接收get提交的数据时，极易出现一个安全漏洞：缓冲区溢出。

缓冲区溢出

■ 名词解释 【缓冲区溢出】： 通过往程序的缓冲区写超出其长度的内容，造成缓冲区的溢出，从而破坏程序的堆栈，使程序转而执行其它指令，以达到攻击的目的。

服务端程序在接收客户端表单提交的数据时，需要先将数据存储到一个内存空间，然后做解析等后续工作，这个内存空间一般称之为接收缓冲区。对于post数据因为有Content-Length标记，服务端可以按标记的长度创建一个等于或稍大于提交数据的缓冲区；对于get，因为事先不知道提交的数据有多少，需要估计缓冲区长度，如果缓冲区很大而接收数据很小会造成内存浪费，而如果缓冲区小于接收数据，就可能造成缓冲区溢出。

缓冲区溢出

“聪明的”黑客，会在溢出部分放置特殊的代码来攻陷你的服务器。

现代的WWW服务器并不是如此弱不禁风，但完全、有效的解决缓冲区溢出漏洞却很难，操作系统、C语言程序都提供了滋生此问题的温床，至今还有相当部分的WWW服务软件有此漏洞，可以搜索一下“get 缓冲区溢出”看看。

这也就是不建议使用get方式提交表单数据的原因所在。

深入思考去学习

随便翻看http入门书籍，都有get和post的区别的描述，但往往只说其然，不说其所以然，而年轻的程序员往往记忆力很好，却忽略了更重要的“思考”。

本篇文章的另一个目的是关于学习方法的： 要习惯于深入思考，要怀着疑问、探索、证明的态度去学习，哪怕是被广泛认为是“公理”的观点。