请问军哥cgi.fix_pathinfo漏洞还存在吗？

jekyll

设置cgi.fix_pathinfo=0可能会导致discuz ucenter无法登陆、头像上传后无法保存等等问题。
据这个文章（https://blog.csdn.net/sun_cainiao/article/details/79601904）说新版本的php已经可以避免这个漏洞，security.limit_extensions 参数默认值为 .php，也就是说只允许访问 .php 后缀的文件。
现在是否可以把cgi.fix_pathinfo=1而不做其他措施？

licess

这个是很久很久之前的了，lnmp是安装好即用的，不需要额外设置

jekyll

licess 发表于 2019-11-18 12:21
这个是很久很久之前的了，lnmp是安装好即用的，不需要额外设置

感谢军哥回复。
lnmp默认的配置是cgi.fix_pathinfo=0，我之前discuz搬家后，后台ucenter登陆不了，必须改成cgi.fix_pathinfo=1才能登陆。
今天我在调试另外一个DZ的时候也遇到后台ucenter登陆不了的问题，老跳转首页（域名没解析，我手动改了本地和vps的host）。

请问cgi.fix_pathinfo=1的漏洞还在吗？新DZ用的最新的PHP 7.3.11，老DZ用的PHP 5.6.40

licess

jekyll 发表于 2019-11-18 12:27
感谢军哥回复。
lnmp默认的配置是cgi.fix_pathinfo=0，我之前discuz搬家后，后台ucenter登陆不了，必须改 ...

这是2011的漏洞，当年漏洞在当年php源码更新就已经修复了
5.6.40,7.3都是2019的肯定不存在这个漏洞

discuz我从6.0一直到现在的discuz x 3.4，没遇到过过这个问题不好判断原因

jekyll

licess 发表于 2019-11-18 20:03
这是2011的漏洞，当年漏洞在当年php源码更新就已经修复了
5.6.40,7.3都是2019的肯定不存在这个漏洞

嗯，漏洞修复了我就放心了，主要是lnmp1.6默认的配置是cgi.fix_pathinfo=0，我担心漏洞还在。
确实，我自己测试，传了个后缀改成jpg的php，发现执行不了。
DZ这个ucenter的问题我用了五年都没遇到过，今年6月搬家出现的，网上很多人都有同样的问题，挺奇怪的，总之改成cgi.fix_pathinfo=1就正常的。

再次感谢军哥！