Apache服务器里数据库CGI那些事儿，怎么用起来更顺手点

首先得明白,Apache本身是个非常厉害的“门卫”或者“接待员”，它负责在互联网上接待来自世界各地浏览器的访问请求，但是Apache自己并不直接懂怎么和数据库（比如MySQL、PostgreSQL这些）说话，也不擅长处理复杂的业务逻辑，比如计算一个用户该付多少钱，这时候，CGI（通用网关接口）就出场了，根据W3C和Apache官方文档的解释，CGI不是一个具体的编程语言，而是一个“协议”或者说“规矩”，这个规矩很简单：当Apache这个门卫收到一个特殊的请求（比如用户提交了一个表单），它就会按照CGI的规矩，去启动一个外部的“小帮手程序”（这个程序可以用Perl、Python、PHP、C等任何语言写成），然后把用户请求的信息交给这个小帮手，小帮手程序吭哧吭哧地干活，比如去数据库里查点数据，或者算点东西，最后生成一个HTML网页，交还给Apache，Apache呢，再原封不动地把这个网页发送给用户的浏览器。

整个过程就是：浏览器 -> Apache -> CGI程序（操作数据库）-> 生成HTML -> Apache -> 浏览器，你看，CGI是连接Apache和数据库之间的一座很关键的桥梁。

怎么让这座桥用起来更顺手呢？这里面有不少门道，很多都是老程序员们踩过坑总结出来的。

第一点，也是最要紧的：安全第一，别让坏人钻了空子。

因为你写的CGI程序会直接和数据库打交道,如果处理不好用户输入的数据，就会出大问题，这里有个臭名昭著的攻击叫“SQL注入”，什么意思呢？举个例子，你的CGI程序里可能有一行代码是这么想的：“用户在这个输入框里填一个用户名，我就用这个用户名去数据库里查他的信息。” 如果你的代码是简单地把用户输入的内容拼接到SQL查询语句里，那就坏事了，坏人可能不老老实实填用户名，他填一段恶意的代码，' OR '1'='1，这一拼接，你的SQL语句可能就变成了永远成立的条件，导致数据库里所有用户的信息都被泄露了，这在OWASP（开放式Web应用程序安全项目）的十大安全风险里常年排名前列。

那怎么防？诀窍就是“不要相信任何从用户那里来的数据”，无论谁填的表单，你都先当他是个坏人，具体的顺手做法是使用“参数化查询”或者“预处理语句”，这相当于你先把SQL语句的模板固定好，查询用户名为XXX的密码”，然后把用户输入的“XXX”当作一个纯粹的参数传进去，这样，即使用户输入的是恶意代码，数据库也会把它当成一个普通的字符串来处理，而不会把它当成SQL命令来执行，用这种方式，你的CGI程序就安全多了。

第二点，让CGI程序跑得快一点，别拖慢整个网站。

CGI有个天生的缺点,来一个请求，启动一个新进程”，想象一下，你的网站每秒有100个人访问同一个CGI程序，Apache就得吭哧吭哧地启动100次这个程序，每次启动都要分配内存、加载解释器（如果是Perl或Python），完了再关闭，这开销太大了，网站肯定会很慢。

那怎么让它顺手点？有几种常见的优化思路，一种是使用“持久化”的技术，对于Perl语言，有mod_perl模块；对于Python，有mod_wsgi模块，这些模块的原理是，它们直接作为Apache的一部分运行，让你的CGI程序常驻在内存里，来了一个请求，Apache不用重新启动程序，直接把任务交给内存里已经准备好的那个程序实例就行了，这就像给门卫配了一个24小时待命的专业助手，而不是每次有事都临时从大街上雇一个，速度的提升是非常明显的。

另一种更主流、更顺手的方式是，干脆升级你的技术架构，比如使用PHP，PHP最初就是作为一种类CGI的脚本语言出现的，但它现在通常以mod_php模块的形式与Apache集成，效率比传统CGI高得多，或者，你可以使用更现代的Web开发框架，比如Python的Django、Flask，它们通常通过WSGI接口与Apache（或其他服务器）通信，这在性能和开发效率上都远超传统的CGI。

第三点，写CGI程序本身的小技巧，让自己调试起来更轻松。

CGI程序调试起来有时候比较麻烦,因为它是在服务器后台运行的，错误信息不会直接显示在网页上，这里有几个让你更顺手的方法。

1. 充分利用日志：Apache有错误日志（error.log）和访问日志（access.log），你可以在CGI程序里，把一些关键的变量值、执行步骤信息写入到错误日志里，比如用Perl的warn函数或者Python的logging模块，这样当程序出问题时，你去翻日志文件，就能像看侦探小说一样，一步步找到bug出在哪里。
2. 规范输出：CGI程序必须严格按照HTTP协议的要求输出内容，最开始必须是Content-type: text/html这样的头信息，后面跟两个换行，然后才是HTML正文，如果忘了换行，浏览器可能什么都显示不出来，养成好习惯，先输出头信息。
3. 环境变量是宝库：Apache会通过环境变量向CGI程序传递大量有用信息，比如用户的IP地址（REMOTE_ADDR）、浏览器类型（HTTP_USER_AGENT）、提交表单的数据长度（CONTENT_LENGTH）等，学会在程序里读取这些环境变量，能让你做出更强大的功能。
4. 处理表单数据：对于GET请求，数据在环境变量QUERY_STRING里；对于POST请求，数据是从标准输入（stdin）读取的，你需要自己写代码来解析这些格式为name=value&name2=value2的字符串，虽然有点繁琐，但很多语言都有现成的库可以帮你处理，比如Perl的CGI.pm模块，用起来就非常顺手。

在Apache里用CGI连接数据库,核心是理解它作为“中间人”的工作机制，想用得更顺手，就要在安全（防注入）、性能（用持久化技术）、和可维护性（善用日志和调试） 这三个方面下功夫，虽然现在CGI看起来有点“老土”，被很多现代技术所替代，但理解它的原理和优化思路，对于理解整个Web开发的发展历程和底层运作机制，仍然非常有价值，当你把这些要点都注意到，并形成良好的开发习惯，即使是用看似原始的CGI，也能搭建出稳定、高效的动态网站。