6.3.9 减少CGI和SSI风险

6.3.9  减少CGI和SSI风险
CGI脚本的漏洞已经成为Web服务器的首要安全隐患，通常是程序编写CGI脚本中产生了许多漏洞。控制CGI脚本的漏洞除了在编写时需要注意对输入数据的合法性检查、对系统调用的谨慎使用等因素外，首先使用CGI程序所有者的UID来运行这些程序。这些CGI程序即使存在某些漏洞，那么其危害也仅限于该UID所能够访问的文件。也就是说，这样只能伤害用户的文件，而不会对整个系统带来致命的影响。
通过安装和使用suEXEC的应用程序，可以为Apache服务器提供CGI程序的控制支持（从Apache l.3版以后，suEXEC已经作为Apache服务器的一部分），可以把suEXEC看作一个包装器，在Apache接到对CGI程序的调用请求后，它将这个调用请求交给suEXEC来负责完成具体的调用，并且从suEXEC获得返回的结果。
suEXEC能解决一些安全问题，但也会降低服务性能，因为它只能运行在CGI版本的PHP上，而CGI版本比模块版本运行速度慢。原因是模块版本使用了线程，而使用CGI版本的是进程。在不同线程之间的环境转换和访问公用的存储区域显然要比在不同的进程之间要快得多。
建议在对安全性能要求比较高时使用suEXEC，为此还要以牺牲速度为代价。此外，可以尝试另外一个软件CGIWrap，它的安全性能高于suEXEC。官方网址为ftp://ftp.cc.umr.edu/pub/cgi/cgiwrap。
减少SSI脚本的风险，如果用exec等SSI命令运行外部程序，也会存在类似CGI脚本程序的危险，除了内部调试程序时都应当可以使用Option命令禁止其使用。

Options IncludesNOEXEC