Nginx(PHP/fastcgi)的PATH_INFO问题
程序员文章站
2023-11-11 19:10:10
在apache中, 当不加配置的时候, 对于php脚本, acceptpathinfo是默认接受的, 也就是说: 如果在服务器在存在一个/laruence/index.ph...
在apache中, 当不加配置的时候, 对于php脚本, acceptpathinfo是默认接受的, 也就是说:
如果在服务器在存在一个/laruence/index.php
那么, 对于如下请求,
/laruence/index.php/dummy
/laruence/dumm
apache都接受, 都会认为是对info.php的访问, 并会设置path_info为dummy
而对于nginx下, 是不支持path info的, 也就是它不会默认设置path_info.
而因为默认的配置文件对php的支持只是很基础的, 所以对于默认配置来说对于上面的访问也会是404, 提示找不到文件出错.
这对于一些使用path_info来传递关键信息的php框架来说(比如kohana, thinkphp), 简直是致命的.
对于这个问题, 一般来说有俩种解决方法, 第一种就是使用rewrite, 但是这个方法的缺点也是很明显的, 需要把path_info转换成query string. 此处就不说明这种方法了~
而, 第二种方法就是我今天要提的, 模拟path_info:
首先 , 我们知道在nginx中, 是通过对文件名的扩展名匹配, 来决定是否要交给php cgi服务器去解释的. 在nginx.conf中一般都有如下的默认配置段:
location ~ .php$ {
fastcgi_index index.php;
fastcgi_pass 127.0.0.1:9000;
include fastcgi_params;
所以,对于形如/laruence/info.php/pathinfo这样的文件路径, nginx是不会正确的交给php cgi服务器的. 所以我们需要改写这段配置为:
location ~ .php {//片段匹配
fastcgi_index index.php;
fastcgi_pass 127.0.0.1:9000;
include fastcgi_params;
现在, 脚本路径已经交由php自己处理了. 那怎么增加path_info呢?
首先, 我们需要打开php中cgi.fix_pathinfo配置项, 打开这个配置项以后, php会去根据cgi规范来检查script_filename中那部分是访问脚本和path_info(ini配置解释), 并根据script_name来修改path_info(和path_translated)为正确的值(其实也就是说明, php最初对cgi 1.1的支持并不到位)
然后, 就只要添加一个fastcgi_param项就好了:
location ~ .php {
fastcgi_index index.php;
fastcgi_pass 127.0.0.1:9000;
include fastcgi_params;
fastcgi_param path_info $fastcgi_script_name;
现在试试吧…
btw: 当然, 上面的解决方法, 把对路径的分析交给了php去处理, 网上也有朋友给出了另外一种配置方法, 这个方法是由nginx来分析路径(也就不需要fix_pathinfo):
location ~ \.php
{
fastcgi_index index.php;
fastcgi_pass 127.0.0.1:9000;
include fastcgi_params;
set $path_info "";
set $real_script_name $fastcgi_script_name;
if ($fastcgi_script_name ~ "^(.+?\.php)(/.+)$") {
set $real_script_name $1;
set $path_info $2;
}
fastcgi_param script_filename /var/html/$real_script_name;
fastcgi_param script_name $real_script_name;
fastcgi_param path_info $path_info;
后记, 最近发现的一个安全漏洞(nginx + php cgi的一个可能的安全漏洞)和这个配置有关系, 请大家务必在使用第二种配置的时候,关闭cgi.fix_pathinfo. 另外关于这个漏洞我个人认为这个和nginx没啥关系, 不属于nginx的漏洞. 是配置的问题, 现在到处都在说是nginx的bug, 不妥不妥.
如果在服务器在存在一个/laruence/index.php
那么, 对于如下请求,
复制代码 代码如下:
/laruence/index.php/dummy
/laruence/dumm
apache都接受, 都会认为是对info.php的访问, 并会设置path_info为dummy
而对于nginx下, 是不支持path info的, 也就是它不会默认设置path_info.
而因为默认的配置文件对php的支持只是很基础的, 所以对于默认配置来说对于上面的访问也会是404, 提示找不到文件出错.
这对于一些使用path_info来传递关键信息的php框架来说(比如kohana, thinkphp), 简直是致命的.
对于这个问题, 一般来说有俩种解决方法, 第一种就是使用rewrite, 但是这个方法的缺点也是很明显的, 需要把path_info转换成query string. 此处就不说明这种方法了~
而, 第二种方法就是我今天要提的, 模拟path_info:
首先 , 我们知道在nginx中, 是通过对文件名的扩展名匹配, 来决定是否要交给php cgi服务器去解释的. 在nginx.conf中一般都有如下的默认配置段:
复制代码 代码如下:
location ~ .php$ {
fastcgi_index index.php;
fastcgi_pass 127.0.0.1:9000;
include fastcgi_params;
所以,对于形如/laruence/info.php/pathinfo这样的文件路径, nginx是不会正确的交给php cgi服务器的. 所以我们需要改写这段配置为:
复制代码 代码如下:
location ~ .php {//片段匹配
fastcgi_index index.php;
fastcgi_pass 127.0.0.1:9000;
include fastcgi_params;
现在, 脚本路径已经交由php自己处理了. 那怎么增加path_info呢?
首先, 我们需要打开php中cgi.fix_pathinfo配置项, 打开这个配置项以后, php会去根据cgi规范来检查script_filename中那部分是访问脚本和path_info(ini配置解释), 并根据script_name来修改path_info(和path_translated)为正确的值(其实也就是说明, php最初对cgi 1.1的支持并不到位)
然后, 就只要添加一个fastcgi_param项就好了:
复制代码 代码如下:
location ~ .php {
fastcgi_index index.php;
fastcgi_pass 127.0.0.1:9000;
include fastcgi_params;
fastcgi_param path_info $fastcgi_script_name;
现在试试吧…
btw: 当然, 上面的解决方法, 把对路径的分析交给了php去处理, 网上也有朋友给出了另外一种配置方法, 这个方法是由nginx来分析路径(也就不需要fix_pathinfo):
复制代码 代码如下:
location ~ \.php
{
fastcgi_index index.php;
fastcgi_pass 127.0.0.1:9000;
include fastcgi_params;
set $path_info "";
set $real_script_name $fastcgi_script_name;
if ($fastcgi_script_name ~ "^(.+?\.php)(/.+)$") {
set $real_script_name $1;
set $path_info $2;
}
fastcgi_param script_filename /var/html/$real_script_name;
fastcgi_param script_name $real_script_name;
fastcgi_param path_info $path_info;
后记, 最近发现的一个安全漏洞(nginx + php cgi的一个可能的安全漏洞)和这个配置有关系, 请大家务必在使用第二种配置的时候,关闭cgi.fix_pathinfo. 另外关于这个漏洞我个人认为这个和nginx没啥关系, 不属于nginx的漏洞. 是配置的问题, 现在到处都在说是nginx的bug, 不妥不妥.