CGI 脚本中的绝对路径是否安全？

Question

我正在为一个网站创建一个新设计，并且有一个旧的 CGI 脚本，它会向我们的服务器发送一封电子邮件。 由于隐私问题，我无法在此处发布代码，但问题将在一秒钟内弄清楚。

此 CGI 脚本采用一些模板，然后重定向到“thanks.htm”页面。但是在执行此操作时，它使用的是绝对路径。

现在的问题是：使用绝对路径是否安全？我的意思是，是否可以读出 CGI 脚本以获取有关服务器架构的信息？

提前致谢， 问候雷钩

Answer 1

您没有提到哪个平台或网络服务器，但无论如何，正确配置的网络服务器不应该能够提供可读的 cgi 脚本。我认为在安全环境中，cgi-bin 目录应该位于可访问的网络空间之外。

恕我直言，使用绝对路径的问题与其说是安全问题不如说是可扩展性问题。如果它是我的应用程序，我会将操作系统环境变量设置为文档根目录，然后使用该变量构建绝对路径。这是否提供了一些额外的安全性？也许 - 因为您对文件结构侦察的担忧有所减轻。但它确实使重新配置应用程序或将其移植到新的服务器/位置更容易。