php fpm 设置项 cgi.fix_pathinfo=1 漏洞不再出现

本文探讨了PHP中关于cgi.fig_pathinfo配置项的安全漏洞,并通过实验验证了在高版本PHP中此漏洞已被修复的情况。文中还介绍了如何通过设置security.limit_extensions参数来限制可以执行的文件类型。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

之前看网上说关于 cgi.fig_pathinfo=1 时的配置漏洞:http://www.laruence.com/2010/05/20/1495.html

试了下后发现该漏洞在目前高版本的 php 中已经不再出现了,会直接显示 Access denied,查看 nginx 错误日志如下:

Access to the script '/home/ksun/test' has been denied (see security.limit_extensions)

这是因为在 php 配置文件 www.conf 中的 security.limit_extensions 参数,该参数默认值为 .php,也就是说只允许访问 .php 后缀的文件。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值