军哥看下，反馈一个重要的问题

天使情歌

  一直使用军哥的环境，这次新搬家，重新装的lnmp1.6版，搬家完后发现dz3.4论坛后台里的ucenter无法正常访问了！

现象是：
论坛后台点击ucenter访问，显示的是一个嵌套下的论坛后台，也就是说你访问后台后再点ucenter会在网站后台画面嵌套又出现一个一样的ucenter


网上各种网罗后发现有人遇到了一样的问题，贴出原因和解决方法如下：




原来lnmp.org默认是把 pathinfo 关闭的？把PHP的PATH_INFO打开就可以了。

方法是：
nginx默认是不会设置PATH_INFO环境变量的的值，需要php使用cgi.fix_pathinfo=1来完成路径信息的获取，但同时会带来安全隐患，需要把cgi.fix_pathinfo=0设置为0，这样php就获取不到PATH_INFO信息，那些依赖PATH_INFO进行URL美化的程序就失效了。

php.ini 里面 cgi.fix_pathinfo=1 即可





但是科普后发现填写1会有很大危害，容易被入侵挂马！如下：
举例来说,开启的危害就是假设你的网站有这样的一张图片,我通过/foo.php就可以查看到这个文件的二进制内容,意思就是可以通过php来执行它.问题就来了,如果你的网站允许用户上传图片,那么用户就可以构造一些恶意的代码,并伪装成图片上传.然后通过上面说的那种方式就可以在你网站的服务器上面通过php跑恶意代码了.




希望军哥能出一个解决方案，技能让ucenter正常访问又能杜绝这个危害！

licess

discuz x 后台ucenter是嵌套，但是和cgi.fix_pathinfo没关系
我这discuz x也从discuz 6.0一直到discuz x 3.4也是一路搬过来的，配置文件和环境都是lnmp直接生成的
你这不能访问具体是什么错误信息或什么表现？

天使情歌

licess 发表于 2020-6-3 17:03
discuz x 后台ucenter是嵌套，但是和cgi.fix_pathinfo没关系
我这discuz x也从discuz 6.0一直到discuz x 3. ...

我不清楚有什么关联，但是作者是那样解决的，我照着操作后问题确实解决了。
所谓的嵌套不是说ucenter是dz后台里的一部分的意思，这里你要看明白。
而是点击ucenter应该是画面转成ucenter的后台，但是没有转成，而是dz后台的模样不变，但是里面内容又有一个dz后台的样子在里面，是这样的嵌套！

直接域名+uc_server访问应该是ucenter后台才对是吧，但是显示的是dz后台不是ucenter后台。

我也是一直使用lnmp+论坛，直到这次搬迁到阿里云，偶然发现了这个问题，因为不常用ucenter。
我也确实是那个方法解决的，具体的我也不明白，觉得有用就来反馈了。
既然有博主跟我是一样的情况，就说明不是个例，提供给军哥看看能不能两全其美

licess

你那边php是什么版本，是否改动过配置文件
我这边测试复现不了问题，无法确定什么问题也无法给出具体的解决方法
你说的cgi.fix_pathinfo漏洞的利用方法，即使是改成0也是不会执行的，你可以在你自己的环境里测试

天使情歌

不好意思军哥好几天没有上线了
PHP版本7.0.33
看到说是高版本php不会有问题，我也不确定这个版本7.0.33能不能行

licess

php 7.0是存在感最低的版本，不像php 5.6兼容性强，性能什么的不如php 7.2+等还支持的版本
discuz x 3.4的话直接上php 7.2或以上版本就行了
是不是存在漏洞，都有漏洞利用方法一测便知