php以CGI 模式安裝時可能遇到的攻擊及解決方法

如果不想把 PHP 嵌入伺服器端軟體（如 Apache）作為一個模組安裝的話，可以選擇以 CGI 的模式安裝。或把 PHP 用於不同的 CGI 封裝以便為程式碼建立安全的 chroot 和 setuid 環境。這種安裝方式通常會把 PHP 的執行檔安裝到 web 伺服器的 cgi-bin 目錄。儘管PHP 可以作為一個獨立的解釋器，但是它的設計使它可以防止下面類型的攻擊：

訪問系統文件：http://my.host/cgi-bin/php?/etc/passwd 在URL 請求的問號（?）後面的訊息會傳給CGI 介面作為命名行的參數。其它的解釋器會在命令列中開啟並執行第一個參數所指定的檔案。 但是，以 CGI 模式安裝的 PHP 解譯器被呼叫時，它會拒絕解釋這些參數。

訪問伺服器上的任意目錄：http://my.host/cgi-bin/php/secret/doc.html 好像上面這種情況，PHP 解釋器所在目錄後面的URL 資訊 /secret/doc.html 將會例行地傳給 CGI程序並進行解釋。通常一些 web 伺服器的會將它重新導向到頁面，如 http://my.host/secret/script.php。如果是這樣的話，某些伺服器會先檢查使用者存取 /secret 目錄的權限，然後才會建立 http://my.host/cgi-bin/php/secret/script.php 上的頁面重新導向。不幸的是，許多伺服器並沒有檢查使用者存取/secret/script.php 的權限，只檢查了 /cgi-bin/php 的權限，這樣任何能存取 /cgi-bin/php 的使用者就可以存取web 目錄下的任意文件了。 在 PHP 裡，編譯時設定選項 --enable-force-cgi-redirect 以及執行時間設定指令 doc_root 和 user_dir 都可以為伺服器上的檔案和目錄新增限制，以防止這類攻擊。以下將對各個選項的設定進行詳細講解。

情形一：只執行公開的檔案

如果 web 伺服器中所有內容都受到密碼或 IP 位址的存取限制，就不需要設定這些選項。如果 web 伺服器不支援重定向，或 web 伺服器無法和 PHP 通訊而使存取請求變得更為安全，可以在 configure 腳本中指定 --enable-force-cgi-redirect 選項。除此之外，還要確認PHP 程式不依賴其它方式調用，例如透過直接的 http://my.host/cgi-bin/php/dir/script.php 存取或透過重定向訪問 http://my .host/dir/script.php。

在Apache中，重定向可以使用 AddHandler 和 Action 語句來設定。

情形二：使用--enable-force-cgi-redirect 選項

此編譯選項可以防止任何人透過如 http://my.host/cgi-bin/php/secretdir/script.php 這樣的URL 直接呼叫PHP。 PHP 在此模式下只會解析已經通過了 web 伺服器的重定向規則的 URL。

通常 Apache 中的重定向設定可以透過以下指令完成：

Action php-script /cgi-bin/php
AddHandler php-script .php

此選項只在 Apache 下進行過測試，並且要依賴 Apache 在重定向操作中所設定的非標準 CGI 環境變數 REDIRECT_STATUS。如果 web 伺服器不支援任何方式能夠判斷請求是直接的還是重定向的，就不能使用這個選項，而應該用其它方法。

情形三：設定 doc_root 或 user_dir

在 web 伺服器的主文檔目錄中包含動態內容如腳本和可執行程式有時被認為是一種不安全的實踐。如果因為配置上的錯誤而未能執行腳本而作為普通 HTML 文件顯示，那就可能導致知識產權或密碼資料的洩露。所以很多系統管理員都會特別設定一個只能透過 PHP CGI 來存取的目錄，這樣該目錄中的內容只會被解析而不會原樣顯示出來。

對於前面所說無法判斷是否重定向的情況，很有必要在主文檔目錄之外建立一個專用於腳本的 doc_root 目錄。

可以透過設定檔內的 doc_root 或設定環境變數 PHP_DOCUMENT_ROOT 來定義 PHP 腳本主目錄。如果設定了該項，那麼 PHP 只會解釋 doc_root 目錄下的文件，並確保目錄外的腳本不會被 PHP 解釋器執行（下面所說的 user_dir 除外）。

另一個可用的選項是 user_dir。當 user_dir 沒有設定的時候，doc_root 就是唯一能控制在哪裡開啟檔案的選項。存取如 http://my.host/~user/doc.php 這個URL 時，並不會開啟使用者主目錄下文件，而只會執行doc_root 目錄下的 ~user/doc.php（這個子目錄以[ ~] 作開頭）。

如果設定了 user_dir，例如 public_php，那麼像 http://my.host/~user/doc.php 這樣的請求將會執行使用者主目錄下的 public_php 子目錄下的 doc.php 檔案。假設使用者主目錄的絕對路徑是 /home/user，那麼被執行檔將會是 /home/user/public_php/doc.php。

user_dir 的设置与 doc_root 无关，所以可以分别控制 PHP 脚本的主目录和用户目录。

情形四：PHP 解释器放在 web 目录以外

一个非常安全的做法就是把 PHP 解释器放在 web 目录外的地方，比如说 /usr/local/bin。这样做唯一不便的地方就是必须在每一个包含 PHP 代码的文件的第一行加入如下语句：

#!/usr/local/bin/php

还要将这些文件的属性改成可执行。也就是说，要像处理用 Perl 或 sh 或其它任何脚本语言写的 CGI 脚本一样，使用以 #! 开头的 shell-escape 机制来启动它们。

在这种情况下，要使 PHP 能正确处理 PATH_INFO 和 PATH_TRANSLATED 等变量的话，在编译 PHP 解释器时必须加入 --enable-discard-path 参数。