我的配置环境是 Windows 7 x64 + IIS 7.5，但是本文的内容在Windows 7.x 版本中应该是完全通用的，因为 FastCGI 正是从 IIS 7.0 开始成为内置组件的。至于之前的版本，需要额外安装 FastCGI 支持，配置上也略有不同。

Part I. 启用 IIS 7.x 中的 FastCGI 支持

依次打开 控制面板 | 程序和组件 | 开启或关闭Windows功能，英文版对应操作为 Control Panel | Programs and Features | Turn Windows Features On or Off. 然后按下图所示启用 FastCGI （勾选 CGI 将同时启用 CGI 和 FastCGI 支持）。其它项你应该根据自己的需要选择，我这里是为了突出显示才去掉了其他项目的勾选。

如果是 IIS7.0，微软已经发布了一系列升级补丁来修正其中内置的 FastCGI 模块已知的部分问题，你可以根据自己的系统下载对应的补丁进行升级：

在弹出的 Add Module Mapping 对话框中，按照下图填写（Executable(optional)一项请填写你自己的安装路径，即 [PHP Install Dir]/php-cgi.exe ）：

填写好之后，点 OK，会弹出一个确认对话框，问你是不是真的要添加这个模块映射。点 Yes 继续。

到此就完成了 PHP 在 IIS 7.x 下的安装，在你的网站目录下创建一个文本文件，文件名后缀为.php，比如test.php，该文件的内容只有一行：

<?php phpinfo(); ?>

然后用浏览器浏览这个文件(通常是http://localhost/test.php)，正常情况下，就会看到PHP的默认信息页面了。

根据不同的配置，看到的信息可能有所不同，我这里的抓图已经安装了 Zend Optimizer v3.3.3，默认当然是没有的，你可以自己下载并安装，Zend Optimizer 的安装和以前所有版本的一样，就算没有教程，跟着安装向导一步一步选择也能成功安装。我这里就不赘述了。此外还有 MySQL、PhpMyAdmin 等的安装，也都是一样的。虽然相关，但都和 IIS 版本无关。就不讲了。

以前配置过PHP4，或者在 IIS 6.0 以前版本中以 ISAPI 方式配置过的朋友应该能发现，使用 FastCGI 方式在 IIS 7.x 中配置 PHP，已经大大简化，不用像 PHP 4那样向系统文件夹拷贝文件，不用像 IIS 6.0 以前版本那样修改环境变量，而且也不像 ISAPI 方式那样要设置 extension_dir 的绝对路径……

总而言之，PHP 在 Windows 下已经不像以前一样仅仅是不得以而为之的一个东西，它的安全性、稳定性、运行效率已经大大提高。除了 Linux + Apache + PHP + MySQL，我们现在也可以很方便地使用 Windows + IIS + PHP + MSSQL 了。

相关日志

• 2008-06-23 -- 微软官方FastCGI，PHP成为IIS“一等公民”
• 2009-07-05 -- PHP 5.3.0 发布
• 2009-06-20 -- 工行U盾在Windows 7 x64版下的使用
• 2009-06-05 -- Windows 7 兼容性展示：大航海时代4
• 2009-05-24 -- Visual Studio 2008 搭配64位SQL Server的问题解决方案
• 2009-05-23 -- windows 7 x64 上的Google Chrome
• 2009-05-16 -- 微软发放的Windows 7测试版光盘
• 2008-06-04 -- 在ASP中实现UNIX时间戳
• 2008-05-23 -- 给UCenter的拥蹩们泼点冷水
• 2007-11-19 -- 如何在DreamHost主机上安装eAcceleartor支持[翻译]

The IIS Team is eager to announce the official release of Microsoft FastCGI Extension for IIS 6.0 as a free download. For the first time, we are providing hosters and PHP developers full support for a stack of technology that enables reliable, scalable PHP hosting on production Internet Information Services 6.0 (IIS 6) Web servers. (Note: The FastCGI module is built in to Windows Server 2008.)

　　以往在Windows 上配置服务器的PHP环境，虽然有无数的经验，无数的文章，但是仍然不能解决所有需求。因此“LAMP”集成安装包才会如此盛行。然而除了PHP，我们有时候也并不愿意放弃ASP和ASP.NET，毕竟Linux不论有多少好处，还有那么多游戏不能在上面运行，那么多软件不能在上面运行。为了工作效率和娱乐，更多的人愿意在虚拟机或者单独的分区里装个Linux来做学习之用。

　　很多人在Windows上配置了Apache，PHP，MySQL，然后到处打听如何让ASP或者ASP.NET得以运行。或者让Apache和IIS可以并行。

　　这一切都源于PHP（不光PHP，还有Perl，JSP等等各种CGI）在IIS上的地位低下，运行效率低，功能不全，不稳定……

　　其实反过来ASP和ASP.NET在Apache上的情况是更糟的，至少我们可以让主流的所有PHP应用都在WIMP（Windows + IIS + MySQL + PHP）上跑得很好，但是几乎不能让任何主流的ASP或者ASP.NET在Apache上正常运行。

　　但是微软很早就开始与PHP开发人员的合作努力必然是会开花结果的。2007年的时候微软IIS小组开始发布FastCGI，如今正式版已经可以支持IIS6.0、IIS7.0，甚至内置在Windows Server 2008上。主机商和试用者的反应都不错。IIS有微软官方团队在努力，PHP有Zend在推动，强强联合带来的信心更是异常强大。

　　FastCGI允许以FastCGI模式在IIS上运行PHP，而不是采用以往的ISAPI方式，这样更接近于Linux下的运行状况。即使在Linux下，也会选择用FastCGI模式来为PHP提速。

　　从www.iis.net/php下载最新的FastCGI扩展安装包，安装到Windows上，然后下载一个PHP的ZIP包解压到任意目录，照着IIS.NET上的配置说明对php.ini做简单修改，再对FastCGIExt.ini做一下配置。为IIS站点加上php扩展名关联。一切都和以前的配置方式差不多。但是不需要再修改环境变量啊，重启服务器啊，拷贝某个文件到Windows目录之类的了，回收一下应用池，一切OK了。

　　在没装Zend Optimizer的情况下打开PHP站点测试一下，不用做基准测试，不用探针来测试，凭感觉都能很明显的感觉到速度的提升。然后装上Zend Optimizer，试试吧，的确稳定了很多，快速了很多。

　　微软的FastCGI并不只是针对PHP的扩展，实际上在FastCGI配置文件里，你可以通过

　　这样的形式继续添加自己的扩展，全都以FastCGI方式运行。

　　FastCGI扩展的免费下载地址：free download

相关日志

• 2009-06-08 -- 在 IIS 7.x 中用 FastCGI 运行 PHP
• 2009-07-05 -- PHP 5.3.0 发布
• 2008-06-04 -- 在ASP中实现UNIX时间戳
• 2008-05-23 -- 给UCenter的拥蹩们泼点冷水
• 2007-11-19 -- 如何在DreamHost主机上安装eAcceleartor支持[翻译]
• 2005-06-12 -- 关于网站的安全性

首当其冲的是服务器的安全，服务器本身如果被人入侵了，你的网站系统再安全，那也没有任何作用。

其次是FTP或者远程管理等的帐号安全，如果人家破解了你的FTP或者远程管理权限，那也就等于窗户开给人家怕，那家里的东西自然是随便拿了。

上述的涉及系统管理的问题，这里不多说了，重点说说第三方面：脚本安全。

脚本指在你的网站上的ASP，JSP，CGI等服务器端运行的脚本代码，比如动易系统、动网论坛都属此类。

脚本代码的安全问题最主要最集中的问题出在两个方面：SQL注入和FSO权限。

互动网站大多有数据库，ASP代码通过SQL语句对数据库进行管理，而SQL语句中的一些变量是通过用户提交的表单获取，如果对表单提交的数据没有做好过滤，攻击者就可以通过构造一些特殊的URL提交给你的系统，或者在表单中提交特别构造的字符串，造成SQL语句没有按预期的目的执行。

经常有网友在动易论坛提交一些扫描报告，说动易有SQL注入漏洞。像动易这么复杂的系统，我们不能说开发人员不会遗漏了一两个表单数据的检验和过滤，如果的确存在这种疏忽，而攻击者又通过源代码看到了，那么肯定网站是抵御不了这样的攻击的。在早期的动力系统中，曾经有过这样的漏洞。

到了动易的新版本，开发团队在防止SQL注入方面下了很大的工夫，几乎所有通过表单提交的数据，分字符性和数字性，分别用一个专门的函数进行处理。只要是提交的数据包含非法字符，或者被替换为安全字符，或者提交的数据被替换为默认值。为了程序具有较好的容错性，我们并没有对所有含有非法字符串的数据提交都以抱错回应。比如当用户访问ShowSource.asp这个网页，提交ChannelID=%3D这样的数据，系统就会将其修改为ChannelID=0，这是安全的数据，但是不会显示“您所提交的数据非法”这样的提示。因为对于访问者而言，这是没有必要的。

也就是因为这样的原因，一些比较弱智的漏洞扫描器就以为提交的ChannelID=%3D被执行了，于是告诉用户ShowSource.asp?ChannelID=%3D存在高危漏洞。

大家如果遇到扫描器报告有高危漏洞的，可以联系我们开发人员确认。经过开发人员确认不存在，那就肯定不存在。即使扫描器报告说有，你也不用担心。因为攻击者是没有办法利用这个漏洞的。

除了SQL注入，还有一个更严重的安全问题：上传木马。

由于上传组件（通常ASP开发者都使用一个或多个第三方开发的上传组件或者ASP类）、站长的错误设置（允许上传asp或者shtml等类型的文件），或者其它存在的上传漏洞，都可能存在被攻击者上传后门的可能性。一旦上传了漏洞，攻击者就获得了站长的权限，甚至超过站长的权限（对整个服务器构成安全威胁）。

这几年来，包括动网、动力、动易在内的ASP系统，都曾经出现过上传漏洞的问题（尤其是去年的upload.inc上传.cer等类型文件的漏洞）。但是为什么每次发现这种大规模存在的漏洞之后，都只有一部分网站被黑呢？当然不是攻击者手软或者良心发现，而是一些网站通过服务器设置，防止了这些漏洞导致的损失。

举个例子，如下图：

给各个不必要的目录，去掉“执行”权限，改为“无”，也就是这个目录下的文件，只能读取，不能运行。比如动网论坛除了根目录以外，其它所有目录都只给读取权限即可，关闭执行权限；动易系统给动易根目录、各个频道的根目录以及User、Reg这些含有ASP网页并且ASP要从浏览器访问的目录执行权限即可，其它都可以设置为“无”。尤其是上传目录，比如UploadFiles这样的目录，还有图片目录，一定要设置为只读。

这样设置以后，即使攻击者找到了上传漏洞，把asp木马上传到了你的UploadFiles目录，他也不能利用那个木马做什么。

另外，如果你的服务器采用NTFS文件系统，那么给网站文件所在的目录设置好权限也很重要，网站所在目录，只要给IUSR_你的机器名这个用户开放了读、写权限就能正常运行。不要给EveryOneGuest这样的用户赋予完全权限，非Web目录，应该禁止IUSR_机器名这样的用户赋予权限，这样可以避免上传的ASP木马给服务器造成严重的安全问题。

另外，在IIS的运用程序配置中，删除不需要的程序映射，也是避免因为过滤不够被攻击者上传了某些特殊类型的木马进行攻击的办法。如下图：

相关日志

• 2009-06-08 -- 在 IIS 7.x 中用 FastCGI 运行 PHP
• 2008-06-26 -- 动易SiteFactory目录权限详解
• 2008-06-23 -- 微软官方FastCGI，PHP成为IIS“一等公民”
• 2008-06-22 -- 动易SW中的一个严重但不影响使用的bug（二）
• 2008-06-22 -- SiteFactory面向的是高端，但是应该更高端
• 2008-06-22 -- 静态页面生成的思考
• 2008-06-18 -- 动易SW中的一个严重但不影响使用的bug(一)
• 2008-05-23 -- 给UCenter的拥蹩们泼点冷水
• 2008-04-28 -- PHP渐成合围之势
• 2008-04-15 -- 目的到底是学技术还是建网站？