13 Nov 09 Nginx(PHP/fastcgi)的PATH_INFO问题

作者: Laruence( )
本文地址: http://www.laruence.com/2009/11/13/1138.html
转载请注明出处

PATH_INFO是一个CGI 1.1的标准，经常用来做为传参载体.

比如, 我们可以使用PATH_INFO来代替Rewrite来实现伪静态页面, 另外不少PHP框架也使用PATH_INFO来作为路由载体.

在Apache中, 当不加配置的时候, 对于PHP脚本, AcceptPathInfo是默认接受的, 也就是说:

如果在服务器在存在一个/laruence/index.php

那么, 对于如下请求,

/laruence/index.php/dummy
/laruence/dummy

Apache都接受, 都会认为是对info.php的访问, 并会设置PATH_INFO为dummy

而对于Nginx下, 是不支持PATH INFO的, 也就是它不会默认设置PATH_INFO.

而因为默认的配置文件对PHP的支持只是很基础的, 所以对于默认配置来说对于上面的访问也会是404, 提示找不到文件出错.

这对于一些使用PATH_INFO来传递关键信息的PHP框架来说(比如Kohana, Thinkphp), 简直是致命的.

对于这个问题, 一般来说有俩种解决方法, 第一种就是使用rewrite, 但是这个方法的缺点也是很明显的, 需要把PATH_INFO转换成Query String. 此处就不说明这种方法了~

而, 第二种方法就是我今天要提的, 模拟PATH_INFO:

首先 , 我们知道在Nginx中, 是通过对文件名的扩展名匹配, 来决定是否要交给php cgi服务器去解释的. 在nginx.conf中一般都有如下的默认配置段:

location ~ .php$ {
	fastcgi_index  index.php;
	fastcgi_pass   127.0.0.1:9000;
	include        fastcgi_params;
}

所以,对于形如/laruence/info.php/pathinfo这样的文件路径, Nginx是不会正确的交给php cgi服务器的. 所以我们需要改写这段配置为:

	location ~ .php {//片段匹配
	fastcgi_index  index.php;
	fastcgi_pass   127.0.0.1:9000;
	include        fastcgi_params;
}

现在, 脚本路径已经交由PHP自己处理了. 那怎么增加PATH_INFO呢?

首先, 我们需要打开PHP中cgi.fix_pathinfo配置项, 打开这个配置项以后, PHP会去根据CGI规范来检查SCRIPT_FILENAME中那部分是访问脚本和PATH_INFO(ini配置解释), 并根据SCRIPT_NAME来修改PATH_INFO(和PATH_TRANSLATED)为正确的值(其实也就是说明, PHP最初对CGI 1.1的支持并不到位)

然后, 就只要添加一个FASTCGI_PARAM项就好了:

location ~ .php {
	fastcgi_index  index.php;
	fastcgi_pass   127.0.0.1:9000;
	include        fastcgi_params;
	fastcgi_param  PATH_INFO $fastcgi_script_name;
}

现在试试吧…

btw: 当然, 上面的解决方法, 把对路径的分析交给了PHP去处理, 网上也有朋友给出了另外一种配置方法, 这个方法是由Nginx来分析路径(也就不需要fix_pathinfo):

location ~ \.php
{
	fastcgi_index index.php;
	fastcgi_pass 127.0.0.1:9000;
	include      fastcgi_params;
	set $path_info "";
	set $real_script_name $fastcgi_script_name;
	if ($fastcgi_script_name ~ "^(.+?\.php)(/.+)$") {
	set $real_script_name $1;
	set $path_info $2;
}
fastcgi_param SCRIPT_FILENAME /var/html/$real_script_name;
fastcgi_param SCRIPT_NAME $real_script_name;
fastcgi_param PATH_INFO $path_info;
}

后记, 最近发现的一个安全漏洞(Nginx + PHP CGI的一个可能的安全漏洞)和这个配置有关系, 请大家务必在使用第二种配置的时候,关闭cgi.fix_pathinfo. 另外关于这个漏洞我个人认为这个和Nginx没啥关系, 不属于Nginx的漏洞. 是配置的问题, 现在到处都在说是Nginx的Bug, 不妥不妥.

分享到：

Tags: nginx, path_info, PHP

Filed in Linux/Unix, PHP应用

28 Responses to “Nginx(PHP/fastcgi)的PATH_INFO问题”

Pages: [3] 2 1 » Show All

Nginx(PHP/fastcgi)的PATH_INFO问题 » ijser | 18 Nov 2011 14:57
[...] 本文地址: http://www.laruence.com/2009/11/13/1138.html [...]
xiatian | 17 Nov 2011 16:48
location ~ .php {//片段匹配
光这样配置还是有风险,如果网站允许上传文件的话(比如图片),用户上传一个muma.php.jpg,该jpg文件内容为一个php木马,然后请求这个路径,如果php可以解析该目录里的文件的话,nginx会把它交给php解析执行,那木马就可以运行了,虽然有很多如果,但不注意可能性还很大.

对于框架来说好办,框架只访问index.php,所以只要nginx将php首页交给php处理.其他的php文件一律返回404好了.

nginx还新增了一个fastcgi_split_path_info参数用于获取PATH_INFO信息:
fastcgi_split_path_info ^(/index\.php)(.*)$;
fastcgi_param PATH_INFO $fastcgi_path_info;
cute | 14 Apr 2011 15:56
http://wiki.nginx.org/HttpFcgiModule#.24fastcgi_script_name
fastcgi_split_path_info
Channel Magnets | 10 Dec 2010 15:30
悬吊Channel Magnets地球仪眼界超越局限尽在掌握,悬吊磁铁地球仪,仅仅是材质的变化,Sensors Magnets就把地球仪的呆板一扫而空;深灰的金属色,富有时尚触觉。 Other Magnetic Assembly它可以通过磁铁吸附,挂在墙上成为立体的球型壁画,悬吊在天花板上作为装饰,或者只是简单摆放在桌上。美白重要的是,无论何时何地;桃皮绒销量不减 ,寒意日渐袭人,这一季适用于制作成夹克衫、Nike air max、休闲装的面料在市场上销量一直是相当不错,商家忙碌着向工厂下订单、puma shoes做货样、催出货。cheap handbags无论是内销订单,还是外贸订货,护肤桃皮绒在近期的盛泽市场上有其一定的地位,尤其深受东欧地区的客商喜欢。
进口泵 | 25 Nov 2010 14:07
PS3 power cord Cyber Monday deals 2010 Best Buy Target & More ，power cord the next generation of gaming with Nyko’s Power Cord for PlayStation 3. The power cord fits into any standard wall outlet and works great as a；江苏大学海水淡化装置科研成果国际领先，乳化机国产高压泵样机一次开机成功,进口阀门现场有一台国外进口泵也同时运行,经检测,在相同频率运行时,国产泵流量、均质器压力均高于进口泵,电机电流值低于进口泵,效率约为进口泵的1.11倍。进口水泵这意味着一个日产万吨级的反渗透海水淡化装置,进口泵如采用两台国产高压泵运行。
金属管转子流量 | 15 Nov 2010 14:13
几种常用金属管转子流量计的基础知识和比较，叶轮、涡轮流量计、活塞或孔板等用以分流流体。PD流量计的精确度较高,是测量粘性液体的几种方法之一。齿轮流量计像PD流量计,涡轮流量计也会产生不可恢复的压力误差,也需要移动部件。电磁流量计具有传导性的流体在流经电磁场时,通过测量电压可得到流体的速度；齐齐哈尔市旅游资源十分丰富,波士顿旅游素以生态环境良好,野生动物植物繁多,山水景色秀美,文化古迹奇特,冰雪风光绮丽而著称。纽约购物近年来,我市旅游产业有了长足的发展,cheap handbags已经成为国民经济的重要组成部分。特别是我市是少数民族聚集区域NFL Jerseys,民族地区的历史文化积淀深厚,自然资源超声波清洗机、人文资源独具特色。
竹纤维家纺 | 27 Oct 2010 16:53
现代都市生活忙碌而紧张,一个竹纤维家纺温暖的家能带给每个人最放松的休闲时光，如果说的发展顺应人们热爱健康、
巴黎诗碧曼注重环保的迫切需求;就是这样的一个品牌,看好 ,源于它 ,其推出的竹纤维品牌家纺产品绝对是符合市场消费需求的产品,深大玉妹符合追求健康时尚产品和生活品味的人们所要求的。2.自动割管机机械设备防寒过冬所需各种油料的储备工作,自动割料机及时更换各类机械发动机的润滑油和防冻液,检查调整蓄电池电解液的比重等;带式过滤机对轨道车等进行彻底检查,严格按照要求做好橡胶带式过滤机制动试验,确保制动性能良好。
气动隔膜泵 | 19 Oct 2010 13:43
气动隔膜泵上海博生水泵制造有限公司系ISO9001-2000国际质量管理体系认证企业。磁力泵由原上海长虹工业泵厂联合国内多家同行及引进外资组建而成的合资企业。产品广泛应用于市政建设、农田水利、上海房地产律师火力发电、石油化工、冶金矿山、房产律师消防环保、食品、航运、医药和轻纺等各个领域，HART手操器是中国水泵业协会和压力变送器全国水泵联销体两大组织的成员企业。螺杆泵水泵博生公司拥有一批专业技术精、上海房产律师管理水平高的复合型人才.