php以CGI 模式安裝時可能遇到的攻擊及解決辦法

如果不想把 PHP 嵌入到伺服器端軟體（如 Apache）作為一個模組安裝的話，可以選擇以 CGI 的模式安裝。或者把 PHP 用於不同的 CGI 封裝以便為代碼建立安全的 chroot 和 setuid 環境。這種安裝方式通常會把 PHP 的可執行檔安裝到 網頁伺服器的 cgi-bin 目錄。儘管 PHP 可以作為一個獨立的解譯器，但是它的設計使它可以防止下面類型的攻擊：

訪問系統檔案：http://my.host/cgi-bin/php?/etc/passwd 在 URL 請求的問號（?）後面的資訊會傳給 CGI 介面作為命名行的參數。其它的解譯器會在命令列中開啟並執行第一個參數所指定的檔案。 但是，以 CGI 模式安裝的 PHP 解譯器被調用時，它會拒絕解釋這些參數。

訪問伺服器上的任意目錄：http://my.host/cgi-bin/php/secret/doc.html 好像上面這種情況，PHP 解譯器所在目錄後面的 URL 資訊 /secret/doc.html 將會例行地傳給 CGI程式並進行解釋。通常一些 網頁伺服器的會將它重新導向到頁面，如 http://my.host/secret/script.php。如果是這樣的話，某些伺服器會先檢查使用者訪問 /secret 目錄的許可權，然後才會建立 http://my.host/cgi-bin/php/secret/script.php 上的頁面重新導向。不幸的是，很多伺服器並沒有檢查使用者訪問 /secret/script.php 的許可權，只檢查了 /cgi-bin/php 的許可權，這樣任何能訪問 /cgi-bin/php 的使用者就可以訪問 web 目錄下的任意檔案了。 在 PHP 裡，編譯時間配置選項 --enable-force-cgi-redirect 以及運行時配置指令 doc_root 和 user_dir 都可以為伺服器上的檔案和目錄添加限制，用於防止這類攻擊。下面將對各個選項的設定進行詳細講解。

情形一：只運行公開的檔案

如果 網頁伺服器中所有內容都受到密碼或 IP 位址的訪問限制，就不需要設定這些選項。如果 網頁伺服器不支援重新導向，或者 網頁伺服器不能和 PHP 通訊而使訪問請求變得更為安全，可以在 configure 指令碼中指定 --enable-force-cgi-redirect 選項。除此之外，還要確認 PHP 程式不依賴其它方式調用，比如通過直接的 http://my.host/cgi-bin/php/dir/script.php 訪問或通過重新導向訪問 http://my.host/dir/script.php。

在Apache中，重新導向可以使用 AddHandler 和 Action 語句來設定。

情形二：使用 --enable-force-cgi-redirect 選項

此編譯選項可以防止任何人通過如 http://my.host/cgi-bin/php/secretdir/script.php 這樣的 URL 直接調用 PHP。PHP 在此模式下只會解析已經通過了 網頁伺服器的重新導向規則的 URL。

通常 Apache 中的重新導向設定可以通過以下指令完成：

Action php-script /cgi-bin/phpAddHandler php-script .php

此選項只在 Apache 下進行過測試，並且要依賴於 Apache 在重新導向操作中所設定的非標準 CGI 環境變數 REDIRECT_STATUS。如果 網頁伺服器不支援任何方式能夠判斷請求是直接的還是重新導向的，就不能使用這個選項，而應該用其它方法。

情形三：設定 doc_root 或 user_dir

在 網頁伺服器的主文件目錄中包含動態內容如指令碼和可執行程式有時被認為是一種不安全的實踐。如果因為配置上的錯誤而未能執行指令碼而作為普通 HTML 文檔顯示，那就可能導致智慧財產權或密碼資料的泄露。所以很多系統管理員都會專門設定一個只能通過 PHP CGI 來訪問的目錄，這樣該目錄中的內容只會被解析而不會原樣顯示出來。

對於前面所說無法判斷是否重新導向的情況，很有必要在主文件目錄之外建立一個專用於指令碼的 doc_root 目錄。

可以通過設定檔內的 doc_root 或設定環境變數 PHP_DOCUMENT_ROOT 來定義 PHP 指令碼主目錄。如果設定了該項，那麼 PHP 就只會解釋 doc_root 目錄下的檔案，並確保目錄外的指令碼不會被 PHP 解譯器執行（下面所說的 user_dir 除外）。

另一個可用的選項就是 user_dir。當 user_dir 沒有設定的時候，doc_root 就是唯一能控制在哪裡開啟檔案的選項。訪問如 http://my.host/~user/doc.php 這個 URL 時，並不會開啟使用者主目錄下檔案，而只會執行 doc_root 目錄下的 ~user/doc.php（這個子目錄以 [~] 作開頭）。

如果設定了 user_dir，例如 public_php，那麼像 http://my.host/~user/doc.php 這樣的請求將會執行使用者主目錄下的 public_php 子目錄下的 doc.php 檔案。假設使用者主目錄的絕對路徑是 /home/user，那麼被執行檔案將會是 /home/user/public_php/doc.php。

user_dir 的設定與 doc_root 無關，所以可以分別控制 PHP 指令碼的主目錄和使用者目錄。

情形四：PHP 解譯器放在 web 目錄以外

一個非常安全的做法就是把 PHP 解譯器放在 web 目錄外的地方，比如說 /usr/local/bin。這樣做唯一不便的地方就是必須在每一個包含 PHP 代碼的檔案的第一行加入如下語句：

#!/usr/local/bin/php

還要將這些檔案的屬性改成可執行。也就是說，要像處理用 Perl 或 sh 或其它任何指令碼語言寫的 CGI 指令碼一樣，使用以 #! 開頭的 shell-escape 機制來啟動它們。

在這種情況下，要使 PHP 能正確處理 PATH_INFO 和 PATH_TRANSLATED 等變數的話，在編譯 PHP 解譯器時必須加入 --enable-discard-path 參數。

