84669 personnes étudient
152542 personnes étudient
20005 personnes étudient
5487 personnes étudient
7821 personnes étudient
359900 personnes étudient
3350 personnes étudient
180660 personnes étudient
48569 personnes étudient
18603 personnes étudient
40936 personnes étudient
1549 personnes étudient
1183 personnes étudient
32909 personnes étudient
如题 , 求解 php.ini 中的 cgi.fix_pathinfo
为什么有的文章总是提示我们要设置成 0 ;
认证高级PHP讲师
举例来说,开启的危害就是假设你的网站有http://xx.com/a.jpg这样的一张图片,我通过http://xx.com/a.jpg/foo.php就可以查看到这个文件的二进制内容,意思就是可以通过php来执行它.问题就来了,如果你的网站允许用户上传图片,那么用户就可以构造一些恶意的代码,并伪装成图片上传.然后通过上面说的那种方式就可以在你网站的服务器上面通过php跑恶意代码了. 具体可以看连接[1]http://www.laruence.com/2010/05/20/1495.html
这个问题只存在于 Nginx 服务器中,Apache和IIS都不会有这个问题。不建议关闭,很多代码都会依赖这个功能,关了基本上都会报错。各多细节可以看看我的博客文章
举例来说,开启的危害就是假设你的网站有http://xx.com/a.jpg这样的一张图片,我通过http://xx.com/a.jpg/foo.php就可以查看到这个文件的二进制内容,意思就是可以通过php来执行它.问题就来了,如果你的网站允许用户上传图片,那么用户就可以构造一些恶意的代码,并伪装成图片上传.然后通过上面说的那种方式就可以在你网站的服务器上面通过php跑恶意代码了.
具体可以看连接[1]http://www.laruence.com/2010/05/20/1495.html
这个问题只存在于 Nginx 服务器中,Apache和IIS都不会有这个问题。
不建议关闭,很多代码都会依赖这个功能,关了基本上都会报错。
各多细节可以看看我的博客文章