PHP ¿Cuáles son los efectos de – cgi.fix_pathinfo = 1 – en php.ini en un servidor web (wp)

2 minutos de lectura

avatar de usuario
Obmerk Kronen

En mi servidor, el host proporciona algunas configuraciones alternativas de PHP.ini.

El único que tiene la extensión Zip (que necesito) se describe como:

zip_cgi.fix_pathinfo

Configuración avanzada para usuarios experimentados con: cgi.fix_pathinfo = 1 y extensión Zip habilitada

Estoy usando el sitio web principalmente para wordpress, pero me gustaría saber cuáles son los posibles efectos (o significado) de esto.

de : http://www.php.net/manual/en/ini.core.php#ini.cgi.fix-pathinfo

Proporciona compatibilidad real con PATH_INFO/ PATH_TRANSLATED para CGI. El comportamiento anterior de PHP era establecer PATH_TRANSLATED en SCRIPT_FILENAME, y no asimilar qué es PATH_INFO. Para obtener más información sobre PATH_INFO, consulte las especificaciones de CGI. Establecer esto en 1 hará que PHP CGI corrija sus rutas para cumplir con la especificación. Una configuración de cero hace que PHP se comporte como antes. Está activado de forma predeterminada. Debe arreglar sus scripts para usar SCRIPT_FILENAME en lugar de PATH_TRANSLATED.

la búsqueda de google solo me proporcionó resultados borrosos, además de preguntarle directamente al anfitrión (las chicas del centro de llamadas realmente no entienden, y los técnicos no responden …)

Parece que la extensión ZIP espera que la URL se transmita como una variable PATH_INFO. Las implementaciones CGI y FastCGI de PHP no tienen PATH_INFO disponible, por lo que al intentar pasar el URI, PHP falla. Una forma de evitarlo es establecer cgi.fix_pathinfo en verdadero.

  • Entonces, en otras palabras, la corrección particular de pathinfo es necesaria para que funcione la extensión ZIP. Pero, ¿tiene algún posible efecto secundario?

    – Obmerk Kronen

    23 de abril de 2013 a las 23:56

  • bueno segun esto digitalocean.com/community/articles/… cgi.fix_pathinfo = 1 representa un riesgo de seguridad, pero todavía no sé cuál es el riesgo

    – samayo

    23 de febrero de 2014 a las 15:05


  • @simON: si tiene una imagen con código PHP malicioso incrustado y la carga a través de un sitio que acepta imágenes, por ejemplo /wordpress/content/image/badpicture.jpg Y luego intente navegar a /wordpress/content/image/badpicture.jpg/FakeFile.phpse llamará al intérprete de PHP, supongo que querías ejecutar badpicture.jpg ya que contiene código PHP, en lugar de FakeFile.php que no existe, y luego tiene un código PHP incorrecto que puede hacer lo que PHP puede hacer, es decir, un servidor comprometido.

    – Nick

    1 mayo 2014 a las 19:13


  • @skyfree si apache usa php como mod_sapi y no como fastcgi

    – Xerkus

    1 jun 2014 a las 18:41

  • @Nick, eso ya no es un riesgo de seguridad con php 5.3.9+, security.limit_extensions no ejecutaría el archivo .jpg.

    – troseman

    27 de enero de 2015 a las 19:11

¿Ha sido útil esta solución?

Esta web utiliza cookies propias y de terceros para su correcto funcionamiento y para fines analíticos y para mostrarte publicidad relacionada con sus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación. Al hacer clic en el botón Aceptar, acepta el uso de estas tecnologías y el procesamiento de tus datos para estos propósitos. Configurar y más información
Privacidad