forum.opennet.ru

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Оглавление

Уязвимость php-fpm, позволяющая удалённо выполнить код на се..., opennews (??), 24-Окт-19, (0) [смотреть все]

https salsa debian org nginx-team nginx blob buster debian conf snippets fastc, Darth Revan (ok), 20:46 , 24-Окт-19, (8) +6
Кто-то ещё php использует , Аноним (1), 20:10 , 24-Окт-19, (1) –32 //

да, анонимус (??), 20:14 , 24-Окт-19, (2) +7
Более 80 сайтовhttps haydenjames io 80-percent-web-powered-by-php , Аноним (3), 20:14 , 24-Окт-19, (3) +12 //

в 2000 году , Аноним (7), 20:46 , 24-Окт-19, (7) –5
Большинство ошибается , Аноним (1), 20:46 , 24-Окт-19, (9) –5 //

нет, Аноним (15), 20:56 , 24-Окт-19, (15) +1

большинство из них - сайты визитки одностраничники, anonn (?), 22:35 , 24-Окт-19, (36) –2 //

Эти что ли Facebook Yahoo Wikipedia WordPress Tumblr MailCh, OpenEcho (?), 02:32 , 25-Окт-19, (46) +7

Я так понимаю, это исчерпывающий список большинства сайтов в интернете , Аноним (49), 04:32 , 25-Окт-19, (49) +1

Я привел конкретные доказательства, который каждый может перепроверить И в чем, OpenEcho (?), 11:01 , 25-Окт-19, (65)
Открываем hh и смотрим вакансии похапе на бекэнде и пару вкраплений смузихлебов, Ананнимас (?), 12:41 , 25-Окт-19, (74) +1

1 488 вакансий 171 php 187 https hh ru search vacancy area 1 st searchVa, Аноним (49), 13:01 , 25-Окт-19, (76) –3

Сам-то вакансии смотрел Там к вебу мало что имеет отношение , Ананнимас (?), 15:11 , 25-Окт-19, (78) +1

уж гугл то точно не на пхпТо что ты описал это единственные крупные ребята кто п, anonn (?), 10:42 , 25-Окт-19, (63) –2

Так в этом то и есть ответ на оригинальный вопрос Кто-то ещё php использует , OpenEcho (?), 11:15 , 25-Окт-19, (66) +1

На одностраничниках как правило нет PHP, Аноним (55), 09:25 , 25-Окт-19, (55) +1

К сожалению большинству строителям интернета даже одностранички влом писать вр, OpenEcho (?), 11:21 , 25-Окт-19, (67) +2

потому как есть куча плагинов, магазинов, галерей и наконец скинов юзерам хочем, Ананнимас (?), 12:48 , 25-Окт-19, (75)

Читай внимательно, там дата естьDecember 15, 2017 by Hayden James, in Blog Linux, Тортик с кремом (?), 09:25 , 25-Окт-19, (54)

Просвяти плыз заблудших, что рекомендовать юзерам в замену пыха , OpenEcho (?), 21:03 , 24-Окт-19, (17) +3 //

Пихон , 123 (??), 21:22 , 24-Окт-19, (23) –12 //

Скорость не пробовали сравнивать , OpenEcho (?), 21:26 , 24-Окт-19, (26) +1

Глупость какая-то в 2к19-ом На первом месте - стильность, модность, молодежност, zzz (??), 22:02 , 24-Окт-19, (34) +7

К великому сожалению Вы - правы, OpenEcho (?), 02:06 , 25-Окт-19, (43) +1

Вы предлагаете вместо одного из самых быстрых скриптовых языков использовать оди, VEG (ok), 10:40 , 25-Окт-19, (62) +2

Ноду конечно же, Аноним (27), 21:39 , 24-Окт-19, (27) –10 //

Джаваскрипт ещё большее гавно, чем пхп, Евгений (??), 21:46 , 24-Окт-19, (31) +11

Ну не пиши на говне, возьми другой яп, Аноним (27), 03:16 , 25-Окт-19, (48)
С чего это JavaScript гавно , foi (?), 03:41 , 26-Окт-19, (84) –1

Повторюсь и здесь A cкорость не пробовали сравнивать И чем оно лучше чем пых, OpenEcho (?), 21:46 , 24-Окт-19, (32)

А ты пробовал Или только на leftpad онанировать умеем , Аноним (27), 03:15 , 25-Окт-19, (47) –2

Я всем говарил вспомнити npm leftpad и что Js быт не должно Но вам как горохи, Аноним (49), 08:42 , 25-Окт-19, (51)
Не пробывал бы, тогда бы и не писал логика где А при чем здесь leftpad, если , OpenEcho (?), 10:47 , 25-Окт-19, (64)

ну так удиви нас результатамиты же сам его притянул , Аноним (68), 11:35 , 25-Окт-19, (68)

А тебя в гугле забанили что ли Слушай, перечитай еще раз, я не гнал на ноду, a п, OpenEcho (?), 11:49 , 25-Окт-19, (72)

то есть теперь сторонний код можно запускать не только через phar Это здоров, Аноним (49), 20:32 , 24-Окт-19, (4) //

Удачи code location php 124 fastcgi_split_path_info p, OpenEcho (?), 20:54 , 24-Окт-19, (12) +2 //

Это запрещает выполнение 3rd-party-кода из phar , Аноним (49), 20:56 , 24-Окт-19, (13) //

https snuffleupagus readthedocs io config html whitelist-of-stream-wrappers, Аноним (16), 20:58 , 24-Окт-19, (16)
Чукча писатель , OpenEcho (?), 21:05 , 24-Окт-19, (19) +1

только mime забыл изменить с бинарного, Аноним (16), 20:56 , 24-Окт-19, (14) //

Просвяти, - а то не понятна глубина мысли, OpenEcho (?), 21:11 , 24-Окт-19, (21)

Вместо отображения файла скачает потокdefault_type application octet-stream , Аноним (16), 21:13 , 24-Окт-19, (22)

Телепатия не удалась default_type text plain И вообще не понятно к чему это, в, OpenEcho (?), 21:24 , 24-Окт-19, (25) +1

но ты отдаешь html а не text, конь в пальто (?), 14:22 , 26-Окт-19, (86) +1

Друг, - Это динамика nginx в этом случае просто прокси, что выставит пых, то и, OpenEcho (?), 14:52 , 26-Окт-19, (87) –1

при чем тут это я про твой return 404 doctyle html div style font-size 800, конь в пальто (?), 15:16 , 26-Окт-19, (88)

Вы не поняли юмора Это doctyle html div style font-size 800 text-align ce, OpenEcho (?), 16:40 , 26-Окт-19, (90)

VestaCP пора ломать, Аноним (16), 20:34 , 24-Окт-19, (5) –2 //

grep -R fastcgi_path_info usr local vesta , Аноним (16), 20:35 , 24-Окт-19, (6)

В nginx wiki ubuntu есть еще одна уязвимость связанная с localhostтам по дефолту, Аноним (16), 20:48 , 24-Окт-19, (10) +2 //

ссылочку плз, Anduy (?), 21:23 , 24-Окт-19, (24) //

https help ubuntu ru wiki nginx-phpfpm D0 BD D0 B0 D1 81 D1 82 D1 80 D0 BE D0, Аноним (16), 21:43 , 24-Окт-19, (28)
https help ubuntu ru wiki nginx-phpfpm настройка_nginx, Аноним (16), 21:44 , 24-Окт-19, (29) //

Корневая директория сайта работающего на данном сервере root var www , Аноним (16), 21:45 , 24-Окт-19, (30)

Пугает наличие кучи rewrite директив к конфигах нджинкса наводящие на не хорош, OpenEcho (?), 21:57 , 24-Окт-19, (33) +1
насчёт описанной в статье траблы, там же есть try_files перед split_path_info, Аноним (44), 02:17 , 25-Окт-19, (44) //

try_files сбрасывает переменную PATH_INFO , поэтому либо надо запоминать кон, OpenEcho (?), 11:41 , 25-Окт-19, (70) //

ну так если try_files вызывется до path_info то это не проблема и в вики path_in, Аноним (77), 14:53 , 25-Окт-19, (77)

Нет В этом то и есть проблема, fastcgi_path_info заполняется после вызова fast, OpenEcho (?), 16:39 , 25-Окт-19, (80)

mdounin деградант, Аноним (85), 04:04 , 26-Окт-19, (85) –2

В эксплоите есть забавные моменты https github com neex phuip-fpizdam blob d4, Аноним (18), 21:04 , 24-Окт-19, (18) +9 //

С таким названием ничего удивительного , Darth Revan (ok), 21:08 , 24-Окт-19, (20) +3
Ёпрст, автор-то Электроник , Аноним (40), 00:34 , 25-Окт-19, (40) +2

Скрыто модератором, Онаним (?), 22:26 , 24-Окт-19, (35) –9 //

Скрыто модератором, Григорий Федорович Конин (?), 22:43 , 24-Окт-19, (37) +2
Скрыто модератором, OpenEcho (?), 23:12 , 24-Окт-19, (38) +1 //

Скрыто модератором, Звукорежиссёр (?), 23:25 , 24-Окт-19, (39) +1

There must be a PATH_INFO variable assignment via statement fastcgi_param PATH_I, хотел спросить (?), 00:44 , 25-Окт-19, (41) //

А с чего ей там вообще быть PATH_INFO - это костыль для определения SCRIPT_FILEN, Ilya Indigo (ok), 09:57 , 25-Окт-19, (59) –1 //

Чиво SCRIPT_FILENAME The absolute pathname of the currently executing scr, OpenEcho (?), 22:09 , 25-Окт-19, (83) //

Тут я извиняюсь, недопонимал какой именно это костыль и как именно с ним извраща, Ilya Indigo (ok), 00:02 , 28-Окт-19, (94) +1

Я недавно перешёл на nginx и не знаю его так хорошо как и Apache, но я сразу отб, Ilya Indigo (ok), 06:13 , 25-Окт-19, (50) //

держи в курсе - твои васян-сайты очень важны этой планетке нет К сожалению, вс, Аноним (52), 09:05 , 25-Окт-19, (52) –1 //

Держу в курсе Вас и других Васянов, пишущих что PHP это слово даже блокирован, Ilya Indigo (ok), 09:48 , 25-Окт-19, (58) +1 //

Ну да, это такая редкость чтобы использовались ЧПУ, вообще нигде их нет , Григорий Федорович Конин (?), 11:47 , 25-Окт-19, (71)

Если используется ЧПУ, тогда я тем более проблемы не вижу Или в каждом блоке мож, Ilya Indigo (ok), 12:13 , 25-Окт-19, (73) –2

Вот эта вот конфигурация сверху - очень большой подарок кулхацкерам, классически, OpenEcho (?), 16:32 , 26-Окт-19, (89) +1

В nginx встроили js, чтобы логику с if ами писать Можно считать этот шаг призн, Аноним (92), 04:01 , 27-Окт-19, (92)

No comments , OpenEcho (?), 18:27 , 27-Окт-19, (93)
хуже - не документации, а записок углем на чьих-то манжетах, где разжевываются с, Аноним (101), 19:37 , 29-Окт-19, (101)

Вы читали сообщение на которое я отвечал ЦитируюЯ вот сам не знаю зачем они так , Ilya Indigo (ok), 00:41 , 28-Окт-19, (95)

видимо, Илюша, ты не только в назначении path info не силен, но мнение имеешь к , Аноним (101), 21:04 , 29-Окт-19, (102) –1

разумеется не потому, что в корне они и лежат, ну конечно же, нет проблема с , Аноним (101), 19:17 , 29-Окт-19, (100)

Аффтар хорош помнится, он ещё в 2017-ом сношал баг-баунти программы у видеохост, Аноним (56), 09:28 , 25-Окт-19, (56)
То есть в связке Apache PHP-FPM не воспроизводится , BrainFucker (ok), 09:57 , 25-Окт-19, (60) –1 //

В новости об этом ничего не сказано, скорее всего тоже должно работать, просто н, Нанобот (ok), 10:17 , 25-Окт-19, (61)

Я правильно понимаю, что если сделать так, то эксплойт не страшен fastcgi_split_, Аноним (69), 11:38 , 25-Окт-19, (69) –2 //

о времена, о админчики-девляляпляп , cewlhazkx0r (?), 17:46 , 25-Окт-19, (81)

О, этот многострадальный код - это несколько модифицированная копипаста из древн, KonstantinB (ok), 15:28 , 25-Окт-19, (79)
Всегда, когда читаю новости с такими заголовками, то начинаю нервничать, руки ав, Анимайзер (?), 22:08 , 25-Окт-19, (82)
О похожем писали ещё в 2010 почти 10 лет назад https forum nginx org read php, spumer (ok), 19:07 , 26-Окт-19, (91)
В Ubuntu 18 04 LTS болт положили на исправление , FSA (??), 07:43 , 28-Окт-19, (96) //

Не Всё-таки исправили , FSA (??), 23:54 , 28-Окт-19, (99)

На опеннете деликатно не стали упоминать о названиях эксплоитов, а на THN полный, InuYasha (?), 13:21 , 28-Окт-19, (97)

Сообщения [Сортировка по времени | RSS]

41. "Уязвимость php-fpm, позволяющая удалённо выполнить код на се..." +/–

Сообщение от хотел спросить (?), 25-Окт-19, 00:44

There must be a PATH_INFO variable assignment via statement fastcgi_param PATH_INFO $fastcgi_path_info;. At first, we thought it is always present in the fastcgi_params file, but it's not true.
CentOS 7
если я правильно помню, то это дефолтовый конфиг
проверьте свои дистры на всякий

fastcgi_param  QUERY_STRING       $query_string;
fastcgi_param  REQUEST_METHOD     $request_method;
fastcgi_param  CONTENT_TYPE       $content_type;
fastcgi_param  CONTENT_LENGTH     $content_length;
fastcgi_param  SCRIPT_NAME        $fastcgi_script_name;
fastcgi_param  REQUEST_URI        $request_uri;
fastcgi_param  DOCUMENT_URI       $document_uri;
fastcgi_param  DOCUMENT_ROOT      $document_root;
fastcgi_param  SERVER_PROTOCOL    $server_protocol;
fastcgi_param  REQUEST_SCHEME     $scheme;
fastcgi_param  HTTPS              $https if_not_empty;
fastcgi_param  GATEWAY_INTERFACE  CGI/1.1;
fastcgi_param  SERVER_SOFTWARE    nginx/$nginx_version;
fastcgi_param  REMOTE_ADDR        $remote_addr;
fastcgi_param  REMOTE_PORT        $remote_port;
fastcgi_param  SERVER_ADDR        $server_addr;
fastcgi_param  SERVER_PORT        $server_port;
fastcgi_param  SERVER_NAME        $server_name;
# PHP only, required if PHP was built with --enable-force-cgi-redirect
fastcgi_param  REDIRECT_STATUS    200;

PATH_INFO там нет... и это радует

Ответить | Правка | Наверх | Cообщить модератору

59. "Уязвимость php-fpm, позволяющая удалённо выполнить код на се..." –1 +/–

Сообщение от Ilya Indigo (ok), 25-Окт-19, 09:57

А с чего ей там вообще быть?
PATH_INFO - это костыль для определения SCRIPT_FILENAME, на каких-то неведомых серверах с неведомой конфигурацией. Сама по себе она никому и не нужна.

Ответить | Правка | Наверх | Cообщить модератору

83. "Уязвимость php-fpm, позволяющая удалённо выполнить код на се..." +/–

Сообщение от OpenEcho (?), 25-Окт-19, 22:09

> PATH_INFO - это костыль для определения SCRIPT_FILENAME, на каких-то неведомых серверах
Чиво?????
SCRIPT_FILENAME => The absolute pathname of the currently executing script.
> с неведомой конфигурацией. Сама по себе она никому и не нужна.
Приехали....
PATH_INFO => Contains any client-provided pathname information trailing the actual script filename but preceding the query string, if available.
А если по человечески, то PATH_INFO используется (и не только в PHP) для передачи параметров в GET методе. Все что будет после реального, физического файла, можно на стороне сервера получить в виде path и распарсить, при этом можно еще опционально задействовать стандартные GET параметры передаваемые после "?"
Простой пример: http://domain.tld/script.php/param1/param2/param3
PATH_INFO в этом случае: /param1/param2/param3
Красиво и без rewrite-тов переаданные параметры
Один из самых модных сейчас фреймворков - laravel использует PATH_INFO в реквест классе
До засилия упрощенной симфонии ака ларавель, был еще один, очень популярный (в принципе и сейчас живой, т.к. до сих пор - один из самых быстрых MVC фраймворков и не отягёщенный зависимостями composer-а) фрейворк под названием CodeIgniter, так в нем на сколько помню передача параметров в контроллер осуществлялась как раз таки тоже через PATH_INFO
Так что PATH_INFO - это не для "неведомых серверов с неведомой конфигурацией", а широко применяемая технология...

Ответить | Правка | Наверх | Cообщить модератору

94. "Уязвимость php-fpm, позволяющая удалённо выполнить код на се..." +1 +/–

Сообщение от Ilya Indigo (ok), 28-Окт-19, 00:02

> А если по человечески, то PATH_INFO используется (и не только в PHP)
> для передачи параметров в GET методе. Все что будет после реального,
> физического файла, можно на стороне сервера получить в виде path и
> распарсить, при этом можно еще опционально задействовать стандартные GET параметры передаваемые
> после "?"
Тут я извиняюсь, недопонимал какой именно это костыль и как именно с ним извращаются.
> Простой пример: http://domain.tld/script.php/param1/param2/param3
> PATH_INFO в этом случае: /param1/param2/param3
> Красиво и без rewrite-тов переаданные параметры
Это не красиво - это уродливо и костыльно!
script.php всё равно нужно указывать, при этом возможно ему передавать GET-параметры, но теперь то что должно быть сзади - стоит спереди... слов нет.
Вот как должен выглядеть этот пример пример ЧПУ https://domain.tld/param1/param2/param3.html
1 С точки зрения пользователя это html - файл и он и не должен подозревать что это не так, тем более знать что именно вызывается на сервере.
2 /param1/param2/param3.html Вот это всё $_SERVER['REQUEST_URI'], который передаётся как есть nginx-ом без всяких регулярок и костылей, а потом элементарно распаривается в PHP без регулярок и при желании, добавляется в $_GET массив.

error_page 404 /en/error;
location = /index.php
{
    return 404;
}
location ^~ /.
{
    return 404;
}
location /
{
    try_files $uri @php;
}
location @php
{
    fastcgi_pass unix:/run/php-fpm.sock;
    fastcgi_param SCRIPT_FILENAME $document_root/index.php;
    include fastcgi_params;
}

Этот метод ЧПУ не требует никаких костылей в виде PATH_INFO, cgi.fix_pathinfo и fastcgi_split_path_info ^(.+?\.php)(/.*)$; Который добавляет ненужную регулярку на сервер, как раз в духе mod_rewrite.
> Один из самых модных сейчас фреймворков - laravel использует PATH_INFO в реквест классе...
> Так что PATH_INFO - это не для "неведомых серверов с неведомой конфигурацией",
> а широко применяемая технология...
Благодарю что Вы меня проинформировали, не знал что на столько всё плохо.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

41. "Уязвимость php-fpm, позволяющая удалённо выполнить код на се..."	+/–
Сообщение от хотел спросить (?), 25-Окт-19, 00:44
There must be a PATH_INFO variable assignment via statement fastcgi_param PATH_INFO $fastcgi_path_info;. At first, we thought it is always present in the fastcgi_params file, but it's not true. CentOS 7 если я правильно помню, то это дефолтовый конфиг проверьте свои дистры на всякий fastcgi_param QUERY_STRING $query_string; fastcgi_param REQUEST_METHOD $request_method; fastcgi_param CONTENT_TYPE $content_type; fastcgi_param CONTENT_LENGTH $content_length; fastcgi_param SCRIPT_NAME $fastcgi_script_name; fastcgi_param REQUEST_URI $request_uri; fastcgi_param DOCUMENT_URI $document_uri; fastcgi_param DOCUMENT_ROOT $document_root; fastcgi_param SERVER_PROTOCOL $server_protocol; fastcgi_param REQUEST_SCHEME $scheme; fastcgi_param HTTPS $https if_not_empty; fastcgi_param GATEWAY_INTERFACE CGI/1.1; fastcgi_param SERVER_SOFTWARE nginx/$nginx_version; fastcgi_param REMOTE_ADDR $remote_addr; fastcgi_param REMOTE_PORT $remote_port; fastcgi_param SERVER_ADDR $server_addr; fastcgi_param SERVER_PORT $server_port; fastcgi_param SERVER_NAME $server_name; # PHP only, required if PHP was built with --enable-force-cgi-redirect fastcgi_param REDIRECT_STATUS 200; PATH_INFO там нет... и это радует
Ответить \| Правка \| Наверх \| Cообщить модератору


	59. "Уязвимость php-fpm, позволяющая удалённо выполнить код на се..."	–1 +/–
	Сообщение от Ilya Indigo (ok), 25-Окт-19, 09:57
	А с чего ей там вообще быть? PATH_INFO - это костыль для определения SCRIPT_FILENAME, на каких-то неведомых серверах с неведомой конфигурацией. Сама по себе она никому и не нужна.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	83. "Уязвимость php-fpm, позволяющая удалённо выполнить код на се..."	+/–
	Сообщение от OpenEcho (?), 25-Окт-19, 22:09
	> PATH_INFO - это костыль для определения SCRIPT_FILENAME, на каких-то неведомых серверах Чиво????? SCRIPT_FILENAME => The absolute pathname of the currently executing script. > с неведомой конфигурацией. Сама по себе она никому и не нужна. Приехали.... PATH_INFO => Contains any client-provided pathname information trailing the actual script filename but preceding the query string, if available. А если по человечески, то PATH_INFO используется (и не только в PHP) для передачи параметров в GET методе. Все что будет после реального, физического файла, можно на стороне сервера получить в виде path и распарсить, при этом можно еще опционально задействовать стандартные GET параметры передаваемые после "?" Простой пример: http://domain.tld/script.php/param1/param2/param3 PATH_INFO в этом случае: /param1/param2/param3 Красиво и без rewrite-тов переаданные параметры Один из самых модных сейчас фреймворков - laravel использует PATH_INFO в реквест классе До засилия упрощенной симфонии ака ларавель, был еще один, очень популярный (в принципе и сейчас живой, т.к. до сих пор - один из самых быстрых MVC фраймворков и не отягёщенный зависимостями composer-а) фрейворк под названием CodeIgniter, так в нем на сколько помню передача параметров в контроллер осуществлялась как раз таки тоже через PATH_INFO Так что PATH_INFO - это не для "неведомых серверов с неведомой конфигурацией", а широко применяемая технология...
	Ответить \| Правка \| Наверх \| Cообщить модератору


	94. "Уязвимость php-fpm, позволяющая удалённо выполнить код на се..."	+1 +/–
	Сообщение от Ilya Indigo (ok), 28-Окт-19, 00:02
	> А если по человечески, то PATH_INFO используется (и не только в PHP) > для передачи параметров в GET методе. Все что будет после реального, > физического файла, можно на стороне сервера получить в виде path и > распарсить, при этом можно еще опционально задействовать стандартные GET параметры передаваемые > после "?" Тут я извиняюсь, недопонимал какой именно это костыль и как именно с ним извращаются. > Простой пример: http://domain.tld/script.php/param1/param2/param3 > PATH_INFO в этом случае: /param1/param2/param3 > Красиво и без rewrite-тов переаданные параметры Это не красиво - это уродливо и костыльно! script.php всё равно нужно указывать, при этом возможно ему передавать GET-параметры, но теперь то что должно быть сзади - стоит спереди... слов нет. Вот как должен выглядеть этот пример пример ЧПУ https://domain.tld/param1/param2/param3.html 1 С точки зрения пользователя это html - файл и он и не должен подозревать что это не так, тем более знать что именно вызывается на сервере. 2 /param1/param2/param3.html Вот это всё $_SERVER['REQUEST_URI'], который передаётся как есть nginx-ом без всяких регулярок и костылей, а потом элементарно распаривается в PHP без регулярок и при желании, добавляется в $_GET массив. error_page 404 /en/error; location = /index.php { return 404; } location ^~ /. { return 404; } location / { try_files $uri @php; } location @php { fastcgi_pass unix:/run/php-fpm.sock; fastcgi_param SCRIPT_FILENAME $document_root/index.php; include fastcgi_params; } Этот метод ЧПУ не требует никаких костылей в виде PATH_INFO, cgi.fix_pathinfo и fastcgi_split_path_info ^(.+?\.php)(/.*)$; Который добавляет ненужную регулярку на сервер, как раз в духе mod_rewrite. > Один из самых модных сейчас фреймворков - laravel использует PATH_INFO в реквест классе... > Так что PATH_INFO - это не для "неведомых серверов с неведомой конфигурацией", > а широко применяемая технология... Благодарю что Вы меня проинформировали, не знал что на столько всё плохо.
	Ответить \| Правка \| Наверх \| Cообщить модератору