-
Юбилейный DevConfX пройдет 21-22 июня в Москве. Как всегда — Вы решаете, кто попадет в программу секции Backend — голосуйте за интересные доклады
разные locations для разных методов GET/PUT/OPTIONS у одного пути
- Автор темы grigori
- Дата начала
MiksIr
miksir@home:~$
Вообще это защита от fix_pathinfo
Правда в совокупности с fastcgi_split_path_info она не работает, как я помню, там if впиливают https://www.nginx.com/resources/wiki/start/topics/examples/phpfcgi/
MiksIr
miksir@home:~$
Оно дефолтом включено, вроде, ибо это поведение по стандарту cgi верное.
Да и вообще ничего плохого, что бы проверить наличие файла php перед тем, как идти в fpm не вижу.
Мало ли какие глупости по дефолту включены.
Какое, делать stat()-брутфорс по всему пути до корня? Нет, такого в CGI стандарте нет.
Стандарту CGI PHP вообще, строго говоря, не соответствует, ни в каком режиме.MiksIr
miksir@home:~$
Достаточно все четко написано - часть урла после программы. Конечно стандарт не пишет, как идентифицировать эту программу, но в общем варианта по сути два я вижу, или перебор от корня или патерн. Знаешь другие?Какое, делать stat()-брутфорс по всему пути до корня? Нет, такого в CGI стандарте нет.
Часть урла после программы - это PATH_INFO, сама программа - это SCRIPT_NAME. А брут (несмотря на название настройки) делается как раз на имя скрипта, причем с учетом содержимого DOCUMENT_ROOT, что вообще не имеет отношения к CGI (как и PHP-шный SCRIPT_FILENAME). В стандарте не не предлагается брутфорсом находить где PATH_INFO, а где SCRIPT_NAME, ожидается, что вебсервер устанавливает эти переменные корректно.
Этот кусок говнокода (fix_pathinfo) в FPM попал копипастой из CGI, где делался в качестве костыля для кривых вебсерверов начала 2000х, и его надо просто выбросить. Но все боятся сломать совместимость с каким-нибудь говносервером.
По стандарту было бы правильно задавать docroot в конфиге fpm, а полный путь до скрипта получать его конкатенацией с SCRIPT_NAME.
Этот кусок говнокода (fix_pathinfo) в FPM попал копипастой из CGI, где делался в качестве костыля для кривых вебсерверов начала 2000х, и его надо просто выбросить. Но все боятся сломать совместимость с каким-нибудь говносервером.
По стандарту было бы правильно задавать docroot в конфиге fpm, а полный путь до скрипта получать его конкатенацией с SCRIPT_NAME.
fix_pathinfo надо выключать всегда, 10 лет уже этому вопросу
а fastcgi_split_path_info я просто скопипастил из старого конфига, он редко нужен
это все актуально только в тех случаях, когда есть аплоад картинок, в которые можно засунуть код, и вызвать как php-скрипт, и надо обеспечивать работу php-скриптов c URI в стиле /some/script.php/article-name/
в большинстве случаев надо просто писать location \.php$
а fastcgi_split_path_info я просто скопипастил из старого конфига, он редко нужен
это все актуально только в тех случаях, когда есть аплоад картинок, в которые можно засунуть код, и вызвать как php-скрипт, и надо обеспечивать работу php-скриптов c URI в стиле /some/script.php/article-name/
в большинстве случаев надо просто писать location \.php$
MiksIr
miksir@home:~$
Ты что-то пытаешься кому-то доказать, или что? Если да, скажи что и кому, а то я нить потерял.
Что try_files $uri =404; не нужен в этом месте или что?
И лучше его убрать, ибо он все-равно с try_files $uri =404; не будет работать
тут дело не в try_files, а в том, что по регулярке ~ \.php$ не зайдет запрос, в котором после расширения .php будет что-то еще, fastcgi_split_path_info ^(.+\.php)(/.+)$; всегда даст один результат,
забейте уже, это не для прода
MiksIr
miksir@home:~$
/my/index.php/and/other.php
AnrDaemon
Продвинутый новичок
В большинстве случаев современных программ так делать не надо. У тебя просто не должно быть *.php файлов в вебруте.
А fastcgi_split_path_info просто ненужно, если только у вас не ушибленный легаси.