解决nginx下php关于fastcgicgi的fix_pathinfo文件类型错误解析

admin

FastCGI解析漏洞：WebServer Fastcgi配置不当，会造成其他文件（例如css，js，jpg等静态文件）被当成php脚本解析执行。当用户将恶意脚本webshell改为静态文件上传到webserver传递给后端php解析执行后，会让攻击者获得服务器的操作权限。

现象描述：
在服务器中创建hi.jpg文件夹，记得是文件夹，然后在该文件夹中创建php文件，将会导致可以被解析出来。

方法1：
关闭cgi.fix_pathinfo为0
方法2：
if ( $fastcgi_script_name ~ \..*\/.*php ) {
return 403;
}
方法1，据说像phpmyadmdin这样需要在二级目录访问的，在登录的时候就会跳转到首页。
方法2能屏蔽大多数情况，但是如果上传的文件是没有后缀名的，那一样是可以运行的
so，第三种方法，加一条
try_files $fastcgi_script_name = 404;
此方法可以杜绝方法1和方法2的不足。
资料来源网络，未仔细测试