章 24. 以 CGI 模式安装时

目录
可能受到的攻击
情形一:只运行公开的文件
情形二:使用 --enable-force-cgi-redirect 选项
情形三:设置 doc_root 或 user_dir
情形四:PHP 解释器放在 web 目录以外

可能受到的攻击

如果不想把 PHP 嵌入到服务器端软件(如 Apache)作为一个模块安装的话,可以选择以 CGI 的模式安装。或者把 PHP 用于不同的 CGI 封装以便为代码创建安全的 chroot 和 setuid 环境。这种安装方式通常会把 PHP 的可执行文件安装到 web 服务器的 cgi-bin 目录。CERT 建议书 CA-96.11 建议不要把任何的解释器放到 cgi-bin 目录。尽管 PHP 可以作为一个独立的解释器,但是它的设计使它可以防止下面类型的攻击: