http POST和http GET之间的澄清[关闭]

Posted 2023-03-05

【中文标题】http POST和http GET之间的澄清[关闭]

【英文标题】：Clarification between http POST and http GET [closed]

【发布时间】：2013-01-11 14:01:51

【问题描述】：

我已经阅读了大量关于 http 帖子和 http get 方法之间区别的文章。我只是对这两者中哪一个在安全性方面是更好的选择感到困惑。因为，有些文章说最好使用post方法而不是get，因为它不允许在url中显示数据。但是也有人说最好用get，因为它不参与数据的更新，它只是用来读取数据并显示它们。那么，我应该选择两者中的哪一个？还是我理解正确？请帮忙，我需要在这里澄清一下...谢谢！

【问题讨论】：

使用http post，更安全

这里发生了什么，谁给出了这些负利率，为什么？

@VahidFarahmand：公平地说，到目前为止，大多数答案都是垃圾（但我没有投反对票......）

我什至不明白为什么其他人投票反对？我只是问问大家的意见。感谢那些回答的人。

@nsutgio：反对票通常用于表达认为答案错误或具有误导性的信念。

【参考方案1】：

GET 和 POST 是方法/动词，并且——正如口语中的动词和编程语言中的方法——它们表示动作。您应该选择最适合该操作的方法。

以definitions开头：

获取

GET 方法意味着检索任何信息（以 entity) 由 Request-URI 标识

发布

POST 方法用于请求源服务器接受 包含在请求中的实体作为资源的新下属 由 Request-Line 中的 Request-URI 标识。

概括地说，GET 应该检索，POST 应该创建或更新。选择的方法与安全无关；既可以得到适当保护，也可以完全不安全。

换句话说：仅仅因为 POST 似乎“隐藏”了数据并不意味着它更安全。

我建议您也阅读一下REST principles。

我会进一步建议阅读Idempotence and Safe methods。请参阅§ 9.1 of the spec 了解幂等性和无能性对 HTTP 的直接应用。

【讨论】：

我要补充一点关于安全性的内容：如果不使用 SSL (https)，​​GET 和 POST 都可以被拦截和读取（通过中间人攻击），这使得它们都不安全。 （如果您使用 SSL）我们可以说 POST 更安全，因为您的系统（Apache 或...）不会完全记录请求，而 GET 请求将使用日志文件中的所有参数写入。所以这意味着如果你的服务器受到攻击并且读取了日志，好的，POST 更安全。但我想你会有其他顾虑。

@maxdec - 我想我的观点是，公认的做法是使用适合操作的动词，然后正确保护应用程序。但是您的观点绝对是实现该安全性的有效考虑因素。

@TimMedora：我完全同意。已选择有意义的名称（POST、GET、UPDATE...）。

【参考方案2】：

POST 或 get 并没有真正影响安全性，如果您的代码容易受到注入，POST 或 GET 方法不会有任何影响，甚至您可以说 GET 更安全，因为 GET URL 将完全记录在日志文件中如果您的代码中有注入，您可以在日志文件中找到整个注入代码/部分，但不会记录 POST 数据。

POST 没有限制，支持多篇文章，所以你可以使用 POST 来上传文件等。但是 GET 参数在 apache 中默认有 8000 个字符的限制。

POST 将使您的 URL 看起来更清晰，并且您的参数将被隐藏。

【参考方案3】：

POST 和 GET 是两种HTTP Request methods，最初用于POST（提交）数据和GET（检索）数据。这被REST 大量使用，以及更多的请求方法（如PUT 和DELETE）。这就是 POST 和 GET 之间的实际区别。

对于网页上的表单，也使用 POST 和 GET。就安全性而言，这并不重要：两者都可以被客户端读取。唯一的区别是使用 GET 更容易，因为用户可以查看 URL 中的参数。使用 POST，您需要从 HTTP 请求正文 (More Details) 中提取参数。

底线：这主要取决于您想要做什么：您是否希望用户复制 URL 以获得相同的页面？例如，这可能很有用：

http://www.yoursite.com/index.php?search=MySearchTerm

这是一个 GET 请求，用户可以复制/与他人共享。但是联系表单会赌 POST 请求，因为在 URL 中添加所有联系方式没有任何意义。

【参考方案4】：

通过这个你会有一个清晰的想法

礼貌：-维基答案.....

$_POST 和 $_GET 都是 PHP 变量，用于从 html 表单中提取输入。但是，不同之处在于 $_POST 对用户隐藏了提取的变量，而 $_GET 没有。因此，这两个变量在安全性方面存在重大差异。

那你为什么要使用 $_GET 呢？因为有些网站拥有为用户提供完整信息的大型数据库。例如，假设您在网上购物，您去购买 2 条裤子（商品 #125）。您被发送到的 URL 可能如下所示：

catalog.php?item=125&quantity=2

如您所见，通过 $_GET 获得的变量对用户是可见的。

POST 方法有可能发送大量数据（通常受服务器设置限制），除非它代表比较 GET 方法的好处，否则可以使用它。很多浏览器不能正确地为 HTTP POST 方法后显示的页面添加书签，因为提交的数据显示在地址栏中。 当您需要使用 GET 方法获取的查询字符串时（由于其限制无效），您将尝试对表单使用 POST 方法。如果您提交不应该在地址栏中显示的重要信息，您可以使用POST方法。

【讨论】：

谢谢。在在线购买网站中，由于通过 post 方法继续或无意点击购买或提交按钮，当前用户可能面临支付多笔金额的风险，这又如何呢？我们将如何防止这种情况发生？

顺便说一句，我不只是指 PHP。

@nsutgio 你不使用 javascript/警报框来确认选择吗？