我应该通过FastCGI模拟PHP吗？

我正在通过FastCGI将最新版本的PHP安装到IIS 7.5上，所有说明都指出，FastCGI应该通过设置来模拟调用客户端

 fastcgi.impersonate = 1

如果我的网站将具有此配置

• 专用应用程序池
• ApplicationPoolIdentity的应用程序池标识
• 仅匿名身份验证（作为IUSR）

我为什么要假冒？

我来自ASP.NET背景，IUSR获得只读权限，而应用程序池标识获得任何写权限。授予对IUSR的写访问权通常会打开WebDAV漏洞的大门。因此，我犹豫让PHP作为IUSR运行。

我找不到很多人问这个问题（1 | 2），所以我想我一定很想念。有人可以帮我澄清一下吗？

13个月后，我想重温我自己的问题。那时，我已经将六个网站从IIS 6转移到IIS 7.5，并使用我的首选方法对其进行了配置。我只能说这些网站可以正常运行，没有任何安全问题（不是这些网站很受欢迎），我认为该设置比learning.iis.net建议的设置更安全。

对于后代，以下是相关设置。在PHP INI中：

cgi.force_redirect = 0
cgi.fix_pathinfo=1
fastcgi.impersonate = 0

在IIS中：

• 应用程序池>身份> ApplicationPoolIdentity
• 网站>身份验证>匿名身份验证>特定用户：IUSR

NTFS权限及其应用位置：

• IUSR-授予读权限，拒绝写权限
  • IIS网站的根目录。例如，在Zend Framework项目中，该目录为/ public目录。
  • 如果您的应用程序上传文件并将其保存在公共目录中，则需要将此权限应用于临时上传目录。这是因为move_uploaded_file将保留上载目录的权限。这是我发现的此权限设置的最大缺点。
• ApplicationPoolIdentity（IIS AppPool\<<YourApplicationPoolName>>）-授权阅读和列出
  • PHP应用程序的根目录。例如，在Zend Framework项目中，这将是整个项目。
  • 应用程序包含的任何外部库（Zend，Doctrine等）都不在应用程序文件夹中。
• ApplicationPoolIdentity-授权修改
  • 任何位置在您的应用程序会写，如upload_tmp_dir，session.save_path和error_log。
  • 有时，我需要在开发环境中将此权限添加到PHP应用程序的根目录，以支持诸如Doctrine的代理自动生成之类的功能。
• ApplicationPoolIdentity-授权列表
  • 如果您的应用程序在虚拟目录中，则需要将此权限添加到网站的根目录。这使您的应用程序可以读取其父级web.config。例如，如果您的应用程序根目录为http://example.com/MyPHPApp，请在example.com Web目录上设置此权限。特别是，您只需要应用于“此文件夹和文件”，“仅在此容器内”。

我希望这对其他认为Learn.iis.net说明不理想的人有所帮助。

请参阅：http：//www.php.net/manual/en/install.windows.iis6.php

模拟和文件系统访问

建议使用IIS时在PHP中启用FastCGI模拟。这由php.ini文件中的fastcgi.impersonate指令控制。启用模拟功能后，PHP将代表由IIS身份验证确定的用户帐户执行所有文件系统操作。

根据文档，它只允许fastcgi使用所有相同的权限（代表您的IUSR帐户）代表客户端执行操作。换句话说，执行通常允许客户（或匿名）自己的凭据执行的所有操作。不多不少。没有这个设置，我想差的fastcgi将会残废。