何正確配置Nginx+PHP

jopen 10年前發布 | 14K 次閱讀 Nginx Web服務器

假設我們用PHP實現了一個前端控制器,或者直白點說就是統一入口:把PHP請求都發送到同一個文件上,然后在此文件里通過解析「REQUEST_URI」實現路由。

此時很多教程會教大家這樣配置Nginx+PHP:

server {
    listen 80;
    server_name foo.com;

    root /path;

    location / {
        index index.html index.htm index.php;

        if (!-e $request_filename) {
            rewrite . /index.php last;
        }
    }

    location ~ \.php$ {
        include fastcgi_params;
        fastcgi_param SCRIPT_FILENAME /path$fastcgi_script_name;
        fastcgi_pass 127.0.0.1:9000;
        fastcgi_index index.php;
    }
}

這里面有很多錯誤,或者說至少是壞味道的地方,大家看看能發現幾個。

我們有必要先了解一下Nginx配置文件里指令的繼承關系:Nginx配置文件分為好多塊,常見的從外到內依次是「http」、「server」、「location」等等,缺省的繼承關系是從外到內,也就是說內層塊會自動獲取外層塊的值作為缺省值(有例外,詳見參考)。

參考:UNDERSTANDING THE NGINX CONFIGURATION INHERITANCE MODEL

讓我們先從「index」指令入手吧,在問題配置中它是在「location」中定義的:

location / {
    index index.html index.htm index.php;
}

一旦未來需要加入新的「location」,必然會出現重復定義的「index」指令,這是因為多個「location」是平級的關系,不存在繼 承,此時應該在「server」里定義「index」,借助繼承關系,「index」指令在所有的「location」中都能生效。

參考:Nginx Pitfalls

接下來看看「if」指令,說它是大家誤解最深的Nginx指令毫不為過:

if (!-e $request_filename) {
    rewrite . /index.php last;
}

很多人喜歡用「if」指令做一系列的檢查,不過這實際上是「try_files」指令的職責:

try_files $uri $uri/ /index.php;

除此以外,初學者往往會認為「if」指令是內核級的指令,但是實際上它是rewrite模塊的一部分,加上Nginx配置實際上是聲明式的,而非過程式的,所以當其和非rewrite模塊的指令混用時,結果可能會非你所愿。

參考:IfIsEvil and How nginx “location if” works

下面看看「fastcgi_params」配置文件:

include fastcgi_params;

Nginx有兩份fastcgi配置文件,分別是「fastcgi_params」和「fastcgi.conf」,它們沒有太大的差異,唯一的區別是后者比前者多了一行「SCRIPT_FILENAME」的定義:

fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;

注意:$document_root 和 $fastcgi_script_name 之間沒有 /。

原本Nginx只有「fastcgi_params」,后來發現很多人在定義「SCRIPT_FILENAME」時使用了硬編碼的方式,于是為了規范用法便引入了「fastcgi.conf」。

不過這樣的話就產生一個疑問:為什么一定要引入一個新的配置文件,而不是修改舊的配置文件?這是因為「fastcgi_param」指令是數組型 的,和普通指令相同的是:內層替換外層;和普通指令不同的是:當在同級多次使用的時候,是新增而不是替換。換句話說,如果在同級定義兩次 「SCRIPT_FILENAME」,那么它們都會被發送到后端,這可能會導致一些潛在的問題,為了避免此類情況,便引入了一個新的配置文件。

參考:FASTCGI_PARAMS VERSUS FASTCGI.CONF – NGINX CONFIG HISTORY

此外,我們還需要考慮一個安全問題:在PHP開啟「cgi.fix_pathinfo」的情況下,PHP可能會把錯誤的文件類型當作PHP文件來解析。如果Nginx和PHP安裝在同一臺服務器上的話,那么最簡單的解決方法是用「try_files」指令做一次過濾:

try_files $uri =404;

參考:Nginx文件類型錯誤解析漏洞

依照前面的分析,給出一份改良后的版本,是不是比開始的版本清爽了很多:

server {
    listen 80;
    server_name foo.com;

    root /path;
    index index.html index.htm index.php;

    location / {
        try_files $uri $uri/ /index.php$is_args$args;
    }

    location ~ \.php$ {
        try_files $uri =404;

        include fastcgi.conf;
        fastcgi_pass 127.0.0.1:9000;
    }
}

實際上還有一些瑕疵,主要是「try_files」和「fastcgi_split_path_info」不夠兼容,雖然能夠解決,但方案比較丑陋,具體就不多說了,有興趣的可以參考問題描述

補充:因為「location」已經做了限定,所以「fastcgi_index」其實也沒有必要。

希望大家以后不要再拷貝粘貼了,如果實在改不了,那么就請拷貝粘貼本文。

原文地址:http://huoding.com/2013/10/23/290

 本文由用戶 jopen 自行上傳分享,僅供網友學習交流。所有權歸原作者,若您的權利被侵害,請聯系管理員。
 轉載本站原創文章,請注明出處,并保留原始鏈接、圖片水印。
 本站是一個以用戶分享為主的開源技術平臺,歡迎各類分享!