array ( 0 => 'index.php', 1 => 'PHP Manual', ), 'head' => array ( 0 => 'UTF-8', 1 => 'de', ), 'this' => array ( 0 => 'security.cgi-bin.force-redirect.php', 1 => 'Fall 2: --enable-force-cgi-redirect benutzen', 2 => 'Fall 2: --enable-force-cgi-redirect benutzen', ), 'up' => array ( 0 => 'security.cgi-bin.php', 1 => 'Installiert als CGI-Version', ), 'prev' => array ( 0 => 'security.cgi-bin.default.php', 1 => 'Fall 1: Nur öffentliche Dateien vorhanden', ), 'next' => array ( 0 => 'security.cgi-bin.doc-root.php', 1 => 'Fall 3: doc_root oder user_dir festlegen', ), 'alternatives' => array ( ), 'source' => array ( 'lang' => 'de', 'path' => 'security/cgi-bin.xml', ), 'history' => array ( ), ); $setup["toc"] = $TOC; $setup["toc_deprecated"] = $TOC_DEPRECATED; $setup["parents"] = $PARENTS; manual_setup($setup); contributors($setup); ?>

Fall 2: --enable-force-cgi-redirect benutzen

Die Konfigurationsdirektive cgi.force_redirect verhindert grundsätzlich den Aufruf von php mit einer URL wie http://my.host/cgi-bin/php/secretdir/script.php. Stattdessen parst PHP in diesem Modus nur dann, wenn der Aufruf durch einen korrekten Redirect des Webservers erfolgte.

Normalerweise wird der Redirect in der Apache-Konfiguration mit den folgenden Einträgen festgelegt:

Action php-script /cgi-bin/php
AddHandler php-script .php

Diese Option wurde nur mit dem Apache Webserver getestet und ist abhängig davon, wie Apache die nicht standardmäßige CGI-Umgebungsvariable REDIRECT_STATUS bei Redirect-Anfragen setzt. Sollte Ihr Webserver keine Möglichkeit unterstützen, zu übermitteln, ob es sich um einen direkten Aufruf oder einen Redirect handelt, können Sie diese Option nicht verwenden und müssen einen der anderen hier beschriebenen Wege gehen, die CGI-Version zu nutzen.