PHP was sind die Auswirkungen von – cgi.fix_pathinfo = 1 – in php.ini auf einem Webserver (wp)

Lesezeit: 2 Minuten

Benutzer-Avatar
Hinweis Kronen

Auf meinem Server stellt der Host einige alternative PHP.ini-Konfigurationen bereit.

Der einzige, der die Erweiterungs-Zip hat (die ich brauche), wird wie folgt beschrieben:

zip_cgi.fix_pathinfo

Erweiterte Einstellungen für erfahrene Benutzer mit: cgi.fix_pathinfo = 1 und Extension Zip Enabled

Ich verwende die Website hauptsächlich für WordPress, aber ich würde gerne wissen, was die möglichen Auswirkungen (oder Bedeutungen) davon sind.

aus : http://www.php.net/manual/en/ini.core.php#ini.cgi.fix-pathinfo

Bietet echte PATH_INFO/ PATH_TRANSLATED-Unterstützung für CGI. Das bisherige Verhalten von PHP bestand darin, PATH_TRANSLATED auf SCRIPT_FILENAME zu setzen und nicht zu groken, was PATH_INFO ist. Weitere Informationen zu PATH_INFO finden Sie in den CGI-Spezifikationen. Wenn Sie dies auf 1 setzen, korrigiert PHP CGI seine Pfade so, dass sie der Spezifikation entsprechen. Eine Einstellung von Null bewirkt, dass sich PHP wie zuvor verhält. Es ist standardmäßig eingeschaltet. Sie sollten Ihre Skripts so korrigieren, dass sie SCRIPT_FILENAME anstelle von PATH_TRANSLATED verwenden.

Die Suche nach Google lieferte nur verschwommene Ergebnisse für mich, ebenso wie das direkte Nachfragen beim Host (die Callcenter-Mädchen verstehen nicht wirklich, und die Techniker reagieren nicht..)

Es scheint, dass die ZIP-Erweiterung erwartet, dass die URL als PATH_INFO-Variable weitergegeben wird. CGI- und FastCGI-Implementierungen von PHP haben PATH_INFO nicht verfügbar, daher schlägt PHP fehl, wenn versucht wird, den URI weiterzugeben. Eine Möglichkeit, dies zu umgehen, besteht darin, cgi.fix_pathinfo auf true zu setzen.

  • Mit anderen Worten, tgat bestimmte Pfadinfo-Korrektur ist notwendig, damit die ZIP-Erweiterung funktioniert. Aber hat es irgendwelche möglichen Nebenwirkungen?

    – Obmerk Kronen

    23. April 2013 um 23:56 Uhr

  • Nun, demnach digitalocean.com/community/articles/… cgi.fix_pathinfo = 1 stellt ein Sicherheitsrisiko dar, aber ich weiß immer noch nicht, was das Risiko ist

    – Samayo

    23. Februar 2014 um 15:05 Uhr


  • @simON: Wenn Sie ein Bild mit eingebettetem schädlichem PHP-Code haben und es über eine Website hochladen, die Bilder akzeptiert, sagen wir /wordpress/content/image/badpicture.jpg Und dann versuchen, zu navigieren /wordpress/content/image/badpicture.jpg/FakeFile.phpwird der PHP-Interpreter aufgerufen, raten Sie, dass Sie ausführen wollten badpicture.jpg da es PHP-Code enthält, statt FakeFile.php die nicht existiert, und dann haben Sie schlechten PHP-Code, der alles tun kann, was PHP tun kann – dh einen kompromittierten Server.

    – Nick

    1. Mai 2014 um 19:13 Uhr


  • @skyfree wenn Apache PHP als mod_sapi und nicht als fastcgi verwendet

    – Xerkus

    1. Juni 2014 um 18:41 Uhr

  • @Nick, das ist kein Sicherheitsrisiko mehr mit PHP 5.3.9+, security.limit_extensions würde die .jpg-Datei nicht ausführen.

    – Trosemann

    27. Januar 2015 um 19:11 Uhr

1345060cookie-checkPHP was sind die Auswirkungen von – cgi.fix_pathinfo = 1 – in php.ini auf einem Webserver (wp)

This website is using cookies to improve the user-friendliness. You agree by using the website further.

Privacy policy