如何正確配置Nginx+PHP

原文出處：  火丁筆記   歡迎分享原創到 伯樂頭條

對不少人而言，配置Nginx+PHP無外乎就是搜索一篇教程，而後拷貝粘貼。聽上去彷佛也沒什麼問題，惋惜實際上網絡上不少資料自己年久失修，漏洞百出，若是你們不求甚解，一味的拷貝粘貼，遲早有一天會爲此付出代價。

 

假設咱們用PHP實現了一個前端控制器，或者直白點說就是統一入口：把PHP請求都發送到同一個文件上，而後在此文件裏經過解析「REQUEST_URI」實現路由。

此時不少教程會教你們這樣配置Nginx+PHP：

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21

server {     listen 80;     server_name foo.com;       root /path;       location / {         index index.html index.htm index.php;           if(!-e$request_filename) {             rewrite . /index.php last;         }     }       location ~ \.php$ {         includefastcgi_params;         fastcgi_param SCRIPT_FILENAME /path$fastcgi_script_name;         fastcgi_pass 127.0.0.1:9000;         fastcgi_index index.php;     } }

這裏面有不少錯誤，或者說至少是壞味道的地方，你們看看能發現幾個。

…

咱們有必要先了解一下Nginx配置文件裏指令的繼承關係：Nginx配置文件分爲好多塊，常見的從外到內依次是「http」、「server」、「location」等等，缺省的繼承關係是從外到內，也就是說內層塊會自動獲取外層塊的值做爲缺省值（有例外，詳見參考）。

參考：UNDERSTANDING THE NGINX CONFIGURATION INHERITANCE MODEL

…

讓咱們先從「index」指令入手吧，在問題配置中它是在「location」中定義的：

1 2 3

location / {     index index.html index.htm index.php; }

一旦將來須要加入新的「location」，必然會出現重複定義的「index」指令，這是由於多個「location」是平級的關係，不存在繼承，此時應該在「server」裏定義「index」，藉助繼承關係，「index」指令在全部的「location」中都能生效。

參考：Nginx Pitfalls

…

接下來看看「if」指令，說它是你們誤解最深的Nginx指令絕不爲過：

1 2 3

if(!-e$request_filename) {     rewrite . /index.php last; }

不少人喜歡用「if」指令作一系列的檢查，不過這其實是「try_files」指令的職責：

1	try_files$uri$uri/ /index.php;

除此之外，初學者每每會認爲「if」指令是內核級的指令，可是實際上它是rewrite模塊的一部分，加上Nginx配置其實是聲明式的，而非過程式的，因此當其和非rewrite模塊的指令混用時，結果可能會非你所願。

參考：IfIsEvil and How nginx 「location if」 works

…

下面看看「fastcgi_params」配置文件：

1	includefastcgi_params;

Nginx有兩份fastcgi配置文件，分別是「fastcgi_params」和「fastcgi.conf」，它們沒有太大的差別，惟一的區別是後者比前者多了一行「SCRIPT_FILENAME」的定義：

1	fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;

注意：$document_root 和 $fastcgi_script_name 之間沒有 /。

本來Nginx只有「fastcgi_params」，後來發現不少人在定義「SCRIPT_FILENAME」時使用了硬編碼的方式，因而爲了規範用法便引入了「fastcgi.conf」。

不過這樣的話就產生一個疑問：爲何必定要引入一個新的配置文件，而不是修改舊的配置文件？這是由於「fastcgi_param」指令是數組型的，和普通指令相同的是：內層替換外層；和普通指令不一樣的是：當在同級屢次使用的時候，是新增而不是替換。換句話說，若是在同級定義兩次「SCRIPT_FILENAME」，那麼它們都會被髮送到後端，這可能會致使一些潛在的問題，爲了不此類狀況，便引入了一個新的配置文件。

參考：FASTCGI_PARAMS VERSUS FASTCGI.CONF – NGINX CONFIG HISTORY

…

此外，咱們還須要考慮一個安全問題：在PHP開啓「cgi.fix_pathinfo」的狀況下，PHP可能會把錯誤的文件類型看成PHP文件來解析。若是Nginx和PHP安裝在同一臺服務器上的話，那麼最簡單的解決方法是用「try_files」指令作一次過濾：

1	try_files$uri=404;

參考：Nginx文件類型錯誤解析漏洞

…

依照前面的分析，給出一份改良後的版本，是否是比開始的版本清爽了不少：

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18

server {     listen 80;     server_name foo.com;       root /path;     index index.html index.htm index.php;       location / {         try_files$uri$uri/ /index.php;     }       location ~ \.php$ {         try_files$uri=404;           includefastcgi.conf;         fastcgi_pass 127.0.0.1:9000;     } }

實際上還有一些瑕疵，主要是「try_files」和「fastcgi_split_path_info」不夠兼容，雖然可以解決，但方案比較醜陋，具體就很少說了，有興趣的能夠參考問題描述。

補充：由於「location」已經作了限定，因此「fastcgi_index」其實也沒有必要。