對很多人而言，配置Nginx+PHP無外乎就是搜尋一篇教程，然後拷貝貼上。聽上去似乎也沒什麼問題，可惜實際上網路上很多資料本身年久失修，漏洞百出，如果大家不求甚解，一味的拷貝貼上，早晚有一天會為此付出代價。

假設我們用PHP實現了一個前端控制器，或者直白點說就是統一入口：把PHP請求都發送到同一個檔案上，然後在此檔案裡通過解析「REQUEST_URI」實現路由。

此時很多教程會教大家這樣配置Nginx+PHP：

server {
    listen 80;
    server_name foo.com;

    root /path;

    location / {
        index index.html index.htm index.php;

        if (!-e $request_filename) {
            rewrite . /index.php last;
        }
    }

    location ~ \.php$ {
        include fastcgi_params;
        fastcgi_param SCRIPT_FILENAME /path$fastcgi_script_name;
        fastcgi_pass 127.0.0.1:9000;
        fastcgi_index index.php;
    }
}
 

這裡面有很多錯誤，或者說至少是壞味道的地方，大家看看能發現幾個。

…

我們有必要先了解一下Nginx配置檔案裡指令的繼承關係：Nginx配置檔案分為好多塊，常見的從外到內依次是「http」、「server」、「location」等等，預設的繼承關係是從外到內，也就是說內層塊會自動獲取外層塊的值作為預設值（有例外，詳見參考）。

參考：UNDERSTANDING THE NGINX CONFIGURATION INHERITANCE MODEL

…

讓我們先從「index」指令入手吧，在問題配置中它是在「location」中定義的：

location / {
    index index.html index.htm index.php;
}
 

一旦未來需要加入新的「location」，必然會出現重複定義的「index」指令，這是因為多個「location」是平級的關係，不存在繼承，此時應該在「server」裡定義「index」，藉助繼承關係，「index」指令在所有的「location」中都能生效。

參考：Nginx Pitfalls

…

接下來看看「if」指令，說它是大家誤解最深的Nginx指令毫不為過：

if (!-e $request_filename) {
    rewrite . /index.php last;
}

很多人喜歡用「if」指令做一系列的檢查，不過這實際上是「try_files」指令的職責：

try_files $uri $uri/ /index.php;

Nginx有兩份fastcgi配置檔案，分別是「fastcgi_params」和「fastcgi.conf」，它們沒有太大的差異，唯一的區別是後者比前者多了一行「SCRIPT_FILENAME」的定義：

fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;

注意：$document_root 和 $fastcgi_script_name 之間沒有 /。

原本Nginx只有「fastcgi_params」，後來發現很多人在定義「SCRIPT_FILENAME」時使用了硬編碼的方式，於是為了規範用法便引入了「fastcgi.conf」。

不過這樣的話就產生一個疑問：為什麼一定要引入一個新的配置檔案，而不是修改舊的配置檔案？這是因為「fastcgi_param」指令是陣列型的，和普通指令相同的是：內層替換外層；和普通指令不同的是：當在同級多次使用的時候，是新增而不是替換。換句話說，如果在同級定義兩次「SCRIPT_FILENAME」，那麼它們都會被髮送到後端，這可能會導致一些潛在的問題，為了避免此類情況，便引入了一個新的配置檔案。

參考：FASTCGI_PARAMS VERSUS FASTCGI.CONF – NGINX CONFIG HISTORY

…

此外，我們還需要考慮一個安全問題：在PHP開啟「cgi.fix_pathinfo」的情況下，PHP可能會把錯誤的檔案型別當作PHP檔案來解析。如果Nginx和PHP安裝在同一臺伺服器上的話，那麼最簡單的解決方法是用「try_files」指令做一次過濾：

try_files $uri =404;

參考：Nginx檔案型別錯誤解析漏洞

…

依照前面的分析，給出一份改良後的版本，是不是比開始的版本清爽了很多：

server {
    listen 80;
    server_name foo.com;

    root /path;
    index index.html index.htm index.php;

    location / {
        try_files $uri $uri/ /index.php;
    }

    location ~ \.php$ {
        try_files $uri =404;

        include fastcgi.conf;
        fastcgi_pass 127.0.0.1:9000;
    }
}

實際上還有一些瑕疵，主要是「try_files」和「fastcgi_split_path_info」不夠相容，雖然能夠解決，但方案比較醜陋，具體就不多說了，有興趣的可以參考問題描述。

補充：

1. 因為「location」已經做了限定，所以「fastcgi_index」其實也沒有必要。
2. 監聽處也可以這樣寫fastcgi_pass unix:/run/php/php7.0-fpm.sock

原文出處:https://huoding.com/2013/10/23/290