<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd"> <HTML ><HEAD ><TITLE >情形三:设置 doc_root 或 user_dir</TITLE ><META NAME="GENERATOR" CONTENT="Modular DocBook HTML Stylesheet Version 1.79"><LINK REL="HOME" TITLE="PHP 手册" HREF="index.html"><LINK REL="UP" TITLE="以 CGI 模式安装时" HREF="security.cgi-bin.html"><LINK REL="PREVIOUS" TITLE="情形二:使用 --enable-force-cgi-redirect 选项" HREF="security.cgi-bin.force-redirect.html"><LINK REL="NEXT" TITLE="情形四:PHP 解释器放在 web 目录以外" HREF="security.cgi-bin.shell.html"><META HTTP-EQUIV="Content-type" CONTENT="text/html; charset=UTF-8"></HEAD ><BODY CLASS="sect1" BGCOLOR="#FFFFFF" TEXT="#000000" LINK="#0000FF" VLINK="#840084" ALINK="#0000FF" ><DIV CLASS="NAVHEADER" ><TABLE SUMMARY="Header navigation table" WIDTH="100%" BORDER="0" CELLPADDING="0" CELLSPACING="0" ><TR ><TH COLSPAN="3" ALIGN="center" >PHP 手册</TH ></TR ><TR ><TD WIDTH="10%" ALIGN="left" VALIGN="bottom" ><A HREF="security.cgi-bin.force-redirect.html" ACCESSKEY="P" >上一页</A ></TD ><TD WIDTH="80%" ALIGN="center" VALIGN="bottom" >章 24. 以 CGI 模式安装时</TD ><TD WIDTH="10%" ALIGN="right" VALIGN="bottom" ><A HREF="security.cgi-bin.shell.html" ACCESSKEY="N" >下一页</A ></TD ></TR ></TABLE ><HR ALIGN="LEFT" WIDTH="100%"></DIV ><DIV CLASS="sect1" ><H1 CLASS="sect1" ><A NAME="security.cgi-bin.doc-root" >情形三:设置 doc_root 或 user_dir</A ></H1 ><P > 在 web 服务器的主文档目录中包含动态内容如脚本和可执行程序有时被认为是一种不安全的实践。如果因为配置上的错误而未能执行脚本而作为普通 HTML 文档显示,那就可能导致知识产权或密码资料的泄露。所以很多系统管理员都会专门设置一个只能通过 PHP CGI 来访问的目录,这样该目录中的内容只会被解析而不会原样显示出来。 </P ><P > 对于前面所说无法判断是否重定向的情况,很有必要在主文档目录之外建立一个专用于脚本的 doc_root 目录。 </P ><P > 可以通过<A HREF="configuration.html#configuration.file" >配置文件</A >内的 <A HREF="ini.core.html#ini.doc-root" >doc_root</A > 或设置环境变量 <CODE CLASS="envar" >PHP_DOCUMENT_ROOT</CODE > 来定义 PHP 脚本主目录。如果设置了该项,那么 PHP 就只会解释 <CODE CLASS="parameter" >doc_root</CODE > 目录下的文件,并确保目录外的脚本不会被 PHP 解释器执行(下面所说的 <CODE CLASS="parameter" >user_dir</CODE > 除外)。 </P ><P > 另一个可用的选项就是 <A HREF="ini.core.html#ini.user-dir" >user_dir</A >。当 user_dir 没有设置的时候,<CODE CLASS="parameter" >doc_root</CODE > 就是唯一能控制在哪里打开文件的选项。访问如 <TT CLASS="filename" >http://my.host/~user/doc.php</TT > 这个 URL 时,并不会打开用户主目录下文件,而只会执行 doc_root 目录下的 <TT CLASS="filename" >~user/doc.php</TT >(这个子目录以 [<TT CLASS="literal" >~</TT >] 作开头)。 </P ><P > 如果设置了 user_dir,例如 <TT CLASS="filename" >public_php</TT >,那么像 <TT CLASS="filename" >http://my.host/~user/doc.php</TT > 这样的请求将会执行用户主目录下的 <TT CLASS="filename" >public_php</TT > 子目录下的 <TT CLASS="filename" >doc.php</TT > 文件。假设用户主目录的绝对路径是 <TT CLASS="filename" >/home/user</TT >,那么被执行文件将会是 <TT CLASS="filename" >/home/user/public_php/doc.php</TT >。 </P ><P > <CODE CLASS="parameter" >user_dir</CODE > 的设置与 <CODE CLASS="parameter" >doc_root</CODE > 无关,所以可以分别控制 PHP 脚本的主目录和用户目录。 </P ></DIV ><DIV CLASS="NAVFOOTER" ><HR ALIGN="LEFT" WIDTH="100%"><TABLE SUMMARY="Footer navigation table" WIDTH="100%" BORDER="0" CELLPADDING="0" CELLSPACING="0" ><TR ><TD WIDTH="33%" ALIGN="left" VALIGN="top" ><A HREF="security.cgi-bin.force-redirect.html" ACCESSKEY="P" >上一页</A ></TD ><TD WIDTH="34%" ALIGN="center" VALIGN="top" ><A HREF="index.html" ACCESSKEY="H" >起始页</A ></TD ><TD WIDTH="33%" ALIGN="right" VALIGN="top" ><A HREF="security.cgi-bin.shell.html" ACCESSKEY="N" >下一页</A ></TD ></TR ><TR ><TD WIDTH="33%" ALIGN="left" VALIGN="top" >情形二:使用 --enable-force-cgi-redirect 选项</TD ><TD WIDTH="34%" ALIGN="center" VALIGN="top" ><A HREF="security.cgi-bin.html" ACCESSKEY="U" >上一级</A ></TD ><TD WIDTH="33%" ALIGN="right" VALIGN="top" >情形四:PHP 解释器放在 web 目录以外</TD ></TR ></TABLE ></DIV ></BODY ></HTML >