Python CGI(通用网关接口)编程是早期Web开发中实现动态网页的技术方案。以下是系统化指南,包含核心概念、实现步骤及安全实践:
一、CGI 基础概念
1. 工作原理
浏览器请求 → Web服务器(如Apache) → 执行CGI脚本 → 生成HTML → 返回响应
2. 环境要求
- Web服务器支持CGI(需配置
ScriptAlias) - Python解释器安装
- 脚本文件权限设置为可执行(
chmod +x script.py)
二、Python CGI 开发步骤
1. 基础脚本结构
#!/usr/bin/env python3
# -*- coding: utf-8 -*-
import cgi
import cgitb
cgitb.enable() # 启用详细错误报告(生产环境应关闭)
print("Content-Type: text/html; charset=utf-8") # 必须的首行输出
print() # 空行分隔HTTP头和正文
print("<h1>Hello CGI World!</h1>")
2. 处理表单数据
form = cgi.FieldStorage()
username = form.getvalue('username', '匿名用户') # 获取字段值
print(f"""
<html>
<body>
<h2>欢迎, {cgi.escape(username)}!</h2>
<form method="post">
<input type="text" name="message">
<input type="submit">
</form>
</body>
</html>
""")
3. 生成动态内容
import time
print("<p>当前服务器时间: %s</p>" % time.ctime())
三、Apache 服务器配置示例
# httpd.conf 配置片段
ScriptAlias /cgi-bin/ /var/www/cgi-bin/
<Directory "/var/www/cgi-bin">
AllowOverride None
Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch
Require all granted
AddHandler cgi-script .py
</Directory>
四、安全最佳实践
1. 输入验证
# 严格验证数字输入
try:
age = int(form.getvalue('age', 0))
if age < 0 or age > 120:
raise ValueError
except ValueError:
print("年龄必须为0-120之间的整数")
2. 输出转义
from html import escape
user_input = "<script>alert('xss')</script>"
print("<p>安全输出: %s</p>" % escape(user_input))
3. 文件操作安全
import os
upload_dir = "/var/www/uploads"
filename = os.path.basename(form['file'].filename) # 防止路径遍历
if not filename.isalnum():
raise ValueError("非法文件名")
filepath = os.path.join(upload_dir, filename)
with open(filepath, 'wb') as f:
f.write(form['file'].file.read())
五、性能优化技巧
1. 缓存机制
import time
import os
CACHE_TTL = 300 # 5分钟缓存
cache_file = "/tmp/cached_data"
if os.path.exists(cache_file) and (time.time() - os.path.getmtime(cache_file)) < CACHE_TTL:
with open(cache_file) as f:
print(f.read())
else:
# 生成新内容
data = generate_expensive_data()
with open(cache_file, 'w') as f:
f.write(data)
print(data)
2. 连接复用
import mysql.connector
# 使用持久连接池
class DBPool:
_pool = None
@classmethod
def get_connection(cls):
if not cls._pool:
cls._pool = mysql.connector.pooling.MySQLConnectionPool(
pool_name="mypool",
pool_size=5,
host='localhost',
database='testdb'
)
return cls._pool.get_connection()
六、现代替代方案建议
虽然CGI仍可用于特定场景,但更推荐现代方案:
-
WSGI框架:
# Flask 示例(替代CGI) from flask import Flask, request app = Flask(__name__) @app.route('/') def hello(): return '<h1>Hello Flask!</h1>' if __name__ == '__main__': app.run() -
异步框架:
- FastAPI(高性能异步框架)
- Tornado(长轮询/WebSocket支持)
七、调试技巧
-
命令行测试:
echo -e "username=test&password=123" | python3 script.py -
日志记录:
import sys sys.stderr.write("DEBUG: 收到POST请求\n") -
性能分析:
import cProfile cProfile.run('process_request()', 'profile.stats')
通过遵循这些实践,可以在传统CGI环境中构建安全可靠的Web应用。对于新项目,建议优先采用现代Web框架以获得更好的性能和安全性。
