全栈网络安全-渗出测试-2

web架构&常规化&站库分离&前后端分离

1. 常规化

原理：常规化是指源码和数据都摆设在同一服务器上。
特点：

• 优势：搭建便捷，自界说程度高。
  
• 劣势：安全性较低，由于数据库和代码在同一服务器上，轻易被攻击。
  实用场景：适合小型项目或个人开发，对安全性要求不高的场景。
  

2. 站库分离

原理：源码和数据库分别摆设在差异的服务器上。
特点：

• 优势：提高了安全性，由于数据库被单独存放，攻击者即使获取了服务器权限，也难以直接访问数据库。
  
• 实用场景：实用于对安全性有一定要求的项目。
  

3. 前后端分离

原理：前端和后端在代码、开发情况和技能栈上完全独立。
特点：

• 前端：负责用户界面展示和交互逻辑，利用HTML、CSS、JavaScript等技能，常见框架有React、Vue.js、Angular等。
  
• 后端：负责处置惩罚业务逻辑、数据存储和认证授权，常见技能栈包括Java、Python、Node.js等。
  
• 通讯方式：通过API接口（如RESTful API、GraphQL）进行数据传输。
  优势：
  

• 开发服从提升：前后端可以并行开发，减少沟通成本。
  
• 技能选型机动：前后端可以独立选择最适合的技能栈。
  
• 独立摆设和扩展：前端可以通过CDN加速，后端可以通过负载均衡提升性能。
  
• 用户体验提升：前端可以实现单页应用（SPA），减少页面刷新，提升交互体验。
  实用场景：实用于中大型项目，尤其是对开发服从、用户体验和系统扩展性要求较高的场景。
  

4. 宝塔+phpStudy

宝塔和phpStudy都是常用的服务器管理工具，但它们在功能和定位上有显著区别：
宝塔面板

文件管理：锁定目次，命令执行：无法执行

• 功能特点：
  
  
  
  • 全面的服务器管理：支持网站、数据库、FTP、SSL证书管理、备份规复等功能。
    
  • 安全性高：提供防火墙、安全检测等多重保障，适合生产情况。
    
  • 界面友好：适合新手和资深开发者，操作简单。
    
  • 支持多系统：实用于Linux和Windows。
    
  
  
• 实用场景：适合必要全面管理服务器和网站的用户，尤其是生产情况。
  

phpStudy

命令执行：可执行，目次：没锁
文件管理

• 功能特点：
  
  
  
  • 轻量级集成情况：适合本地开发调试，安装简单，占用资源少。
    
  • 多版本支持：可切换差异PHP版本，方便开发。
    
  • 易用性强：界面简便，适合初学者。
    
  
  
• 实用场景：重要用于本地开发和测试。
  

5. Docker容器

拿不到真正的权限，虚拟的，之后会说Docker逃逸

• 功能特点：
  
  
  
  • 虚拟化技能：通过容器化隔离应用，每个应用运行在独立的虚拟情况中。
    
  • 资源隔离：测试者攻击的是虚拟磁盘空间，不会影响宿主机。
    
  • 机动性高：便于摆设和迁移，适合开发、测试和生产情况。
    
  
  
• 实用场景：实用于必要快速摆设、隔离和迁移应用的场景。
  

6. 建站分配站

• 功能特点：
  
  
  
  • 托管与申请：利用现有的域名模板快速搭建网站。
    
  • 安全测试：非目标资产，重要用于测试和学习。
    
  
  
• 实用场景：适合初学者或小型项目，快速搭建和测试。
  

总结

• 宝塔面板适合生产情况的服务器管理，功能全面且安全。
  
• phpStudy适合本地开发和测试，操作简单。
  
• Docker容器适合必要隔离和快速摆设的场景。
  
• 建站分配站适合快速搭建和测试。
  

静态网站

静态网站是指那些几乎不依靠于服务器端处置惩罚的网站，其内容是预先天生好的HTML页面，这些页面存储在服务器上。当用户访问一个静态网站时，服务器直接将这些固定的（静态）文件发送给用户的欣赏器，而不必要先辈行任何额外的计算或数据处置惩罚。这类网站通常包括简单的文本、图片、超链接和视频等根本元素，而且交互性较低。
创建静态网站的长处包括：

• 加载速度快：由于内容是预天生的，服务器只需快速响应请求并发送文件，无需执行复杂的后台逻辑。
  
• 安全性高：没有动态组件意味着攻击面较小，好比SQL注入等常见的安全问题不会出现在静态网站中。
  
• 成本效益好：托管静态网站通常比托管动态网站便宜，由于它们占用更少的服务器资源。
  
• 易于摆设和维护：不必要数据库或其他复杂的设置，使得摆设过程简单快捷。
  

伪静态

想象一下你正在图书馆找一本书。传统的方式是，你必要告诉图书管理员你要借哪本书（好比通过书名、作者等信息），然后图书管理员去帮你找到这本书的详细位置并拿给你。这种方式类似于动态网页的工作方式：每次访问网站时，服务器根据请求实时天生页面内容。
伪静态的概念
现在，假设图书馆做了一些改进，他们给每本书都分配了一个固定的编号，而且在书架上明确标注了这些编号和对应的书名。这样，下次你来找书的时候，直接按照编号就能快速定位到那本书的位置，而不必要每次都去找图书管理员帮助查找。
在这个比喻中，“伪静态”的作用就像是给每个资源（在这里是指网页）提供了一个固定且易于理解的地点（URL）。虽然这些页面实际上是通过后台程序动态天生的，但它们看起来就像是静态存在的，由于它们有一个固定的、用户友好的URL。
实际应用中的伪静态
原始动态网址：www.example.com/index.php?page=about
转换后的伪静态网址：www.example.com/about
只管第二个网址看起来像是指向一个实际存在的静态文件（如HTML文件），但实际上它是由服务器接收到请求后，根据设定的规则将请求重写为第一个形式，再由后台处置惩罚并返回相应的页面内容。
简单总结
伪静态就是把原本带有复杂参数、不易记忆也倒霉于搜刮引擎优化的动态网址（例如包罗?page=这样的查询字符串），通过技能手段转换成简单、直观、轻易被记住的静态形式的网址。这样做不仅让访客更轻易访问和分享你的网页，也有助于提高网站在搜刮引擎中的排名。换句话说，伪静态就像是给图书馆里的每一本书都贴上了清晰易懂的标签，方便大家直接找到自己必要的东西，而不是每次都得扣问工作职员。

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。