由於 Windows 執行檔存在一個問題,允許任何使用者直接從 PHP 執行檔讀取或執行檔案內容,我們已延遲 PHP for Windows 4.1.2 版本的發布,以便修復此問題。此版本也修復了檔案上傳安全問題。
在此新版本中,我們引入了 2 個新的 php.ini 設定,您**必須**設定這些設定才能使執行檔正常運作。此時值得注意的是,此特定修復程式僅適用於 CGI 執行檔。SAPI 模組仍將按預期工作,建議使用它。
新的設定如下:
cgi.force_redirect 0|1cgi.redirect_status_env 環境變數名稱已知 Apache(任何版本)和 iPlanet 伺服器容易受到此問題的影響,但 Microsoft IIS 不受影響。由於 cgi.force_redirect 的值為 1 或 0(開啟或關閉),如果您正在執行 Apache 或 iPlanet 伺服器,則應將其設定為 1,如果是 IIS 則設定為 0。如果您不確定需要哪個,請將其設定為 1 並查看您的腳本是否執行。當您更改 php.ini 檔案時,您需要停止並重新啟動伺服器,才能使更改生效。
如果 cgi.force_redirect 已開啟,且您未在 Apache 或 Netscape (iPlanet) 網路伺服器下執行,則您**可能**需要設定一個環境變數名稱,PHP 將會尋找該名稱以確認可以繼續執行。設定此變數**可能**會導致安全問題,因此請先檢查您的操作。
更多相關資訊,特別是有關最初導致 4.1.2 版本發佈的表單上傳漏洞,請點此參閱。