[经验]ISAPI开发心得

作者在 2008-04-12 14:05:10 发布以下内容

 ISAPI Filter 开发心得 
 
 //转载请保留此信息,谢谢合作
 //By RedIce 2008.4.13
 //E-mail:redice@163.com
 //http://redice.bookold.net

 最近写了几个ISAPI Filter,网上这方面的资料很少, 不过MSDN上有一些。

 总结了一些我的经验,如下:
 
 问:如何创建一个ISAPI Filter工程?
 答:Vc++6.0->工程->ISAPI Extension Wizard 然后根据向导提示和自己的实际需求,一步一步进行
     要注意的地方:
     你希望创建什么类型的IIS对象?我们应该选"产生一个过滤器对象"
     你的过滤器拥有的通知优先级?根据自己的需要,如果向让我们的程序最先处理客户的请求就要选择"高"
     你的过滤器将处理那些通知?一般选择“URL映射请求” 
 
 问:我的处理代码应该加在什么地方?
 答:一般放在OnUrlMap函数中(这与上面的选择有关系)

 问:如何取得客户端请求的URL?
 答:在OnUrlMap函数中使用pMapInfo->pszURL即可获得,类型char *

 问:如何取得HTTP请求报文中的参数?
 答:在OnUrlMap函数中使用pCtxt->GetServerVariable(LPTSTR ,LPVOID,LPDWORD )即可取得,该函数的原型如下:
     GetServerVariable( LPTSTR lpszVariableName, LPVOID lpvBuffer, LPDWORD lpdwSize )
     简单解释一下参数,
     参数(1) lpszVariableName-要取得的参数的名称,例如"ALL_HTTP",将取得所有客户发送的HTTP请求头;"QUERY_STRING",取得客户端以Get方式提交的参数。至于其它的,可以到MSND中查阅,里面有详细的说明。
     参数(2) lpvBuffer-接收缓冲区,存放取得的参数的缓冲区。
     参数(3) lpdwSize-函数成功调用后,该参数存放成功获取的参数的字节数。

 问:如何向客户端输出HTML?
 答:在OnUrlMap函数中使用pCtxt的WriteClient方法即可实现,函数原型如下:
     BOOL WriteClient( LPVOID lpvBuffer, LPDWORD lpdwBytes, DWORD dwReserved = 0 );参数不解释了,大家可以望文生义。

 问:如何重定向客户的请求?
 答:看个例子,自然明白
     //将用户请求的URL重定向到http://www.baidu.com/
   char szRedirect [256];
   sprintf(szRedirect, "Location: http://%s\r\n\r\n", "www.baidu.com");
   pCtxt->ServerSupportFunction ( SF_REQ_SEND_RESPONSE_HEADER, (LPVOID) "302 Redirect", (DWORD *) szRedirect,0 );
   补充一下,ServerSupportFunction这个函数可以实现修改向客户端发出的HTTP报文头信息,详情,敬请查看MSDN

 问:如何将写好的程序(DLL),添加到IIS?
 答:follow me,打开Internet信息服务管理,在需要保护的站点上点击鼠标右键,打开属性页,切换到ISAPI筛选器标签,然后,添加即可。

 问:我写的筛选器怎么在没有安装VC++的机器上不工作?
 答:以release方式发布即可

 Ok,总结完了。我就知道这么多了。最后再把我最近写的一个程序附上,仅供参考:
 

 先说一下这个过滤器实现的功能:防数据库被下载,防SQL注入

 //水品有限,不当之处还望高手指出:
 DWORD CSafeWebFilter::OnUrlMap(CHttpFilterContext* pCtxt,
 PHTTP_FILTER_URL_MAP pMapInfo)
{
 //By RedIce 2008.4.12
 char c_url[256];//客户端请求的URL
 char c_VariableName[256];
 char c_exten[5];
 char c_response[256];
 DWORD  response_len;
 unsigned long l_Variable_len;

 memset(c_VariableName,0,256);
 //取得客户端请求的参数

 pCtxt->GetServerVariable("QUERY_STRING",c_VariableName,&l_Variable_len);
 //如果请求的URL(包括参数)过长则给做警告
 if(strlen(pMapInfo->pszURL) +strlen(c_VariableName)>=256)
 {
  memset(c_response,0,256);
  sprintf(c_response,"<p align=center><font color=red>注意:客户端请求的URL过长!</font>");
  response_len=strlen(c_response);
  pCtxt->WriteClient(c_response,&response_len);
  return SF_STATUS_REQ_FINISHED;
 }
 memset(c_url,0,256);
 strcpy(c_url,pMapInfo->pszURL);//取得客户端请求的URL
 if(strlen(c_VariableName)) strcat(c_url,"?");
 strcat(c_url,c_VariableName);//将用户请求的URL和参数连接起来
 strlwr(c_url);//将url中所有字母转换为小写
 memset(c_exten,0,5);
 strcpy(c_exten,&c_url[strlen(c_url)-4]);

 //防数据库被下载
 if(!strcmp(c_exten,".mdb"))
 {
  memset(c_response,0,256);
  sprintf(c_response,"<p align=center><font color=red>注意:你没有访问该资源的权限!</font>");
  response_len=strlen(c_response);
  pCtxt->WriteClient(c_response,&response_len);
  return SF_STATUS_REQ_FINISHED;
 }

 //防SQL注入
 if(strstr(c_url,"'")||
    strstr(c_url,";")||
    strstr(c_url,"select")||
    strstr(c_url,"where")||
    strstr(c_url,"count")||
    strstr(c_url,"update")||
    strstr(c_url,"insert")||
    strstr(c_url,"delete")||
    strstr(c_url,"and")||
    strstr(c_url,"exec"))
 {
  memset(c_response,0,256);
  sprintf(c_response,"<p align=center><font color=red>注意:你提交的URL中含有非法参数!</font>");
  response_len=strlen(c_response);
  pCtxt->WriteClient(c_response,&response_len);
  return SF_STATUS_REQ_FINISHED;
 }


 // TODO: React to this notification accordingly and
 // return the appropriate status code
 return SF_STATUS_REQ_NEXT_NOTIFICATION;
}
   
发个截图:

 


本博客于即日起(2009.2.26)停止更新,


新博客地址:http://www.redicecn.cn ,

本博客的大部分文章已经转移到新博客中...


 

默认分类 | 阅读 3541 次
文章评论,共0条
游客请输入验证码
浏览585145次