分析了一段时间的CGI接口，感觉各种WEB服务器对一些变量好象不是很统一，也没明白一些安全要求，所以造成一些安全上的漏洞，在此作一简要分析。因为是根据个人的一些理解分析，所以错误在所难免，还望大家批评指正。

　　主要问题是几个变量PATH_INFO、PATH_TRANSLATED、SCRIPT_NAME的处理不统一。下面是MSDN的关于这几个变量的说明，为了清楚，也把相关两个一起列出，另两个变量这两种WEB服务器应该说都是正确处理。

PATH_INFO Additional path information, as given by the client. This comprises the trailing part of the URL after the script name but before the query string (if any).
PATH_TRANSLATED This is the value of PATH_INFO, but with any virtual path name expanded into a directory specification.
QUERY_STRING The information which follows the ? in the URL that referenced this script.
REQUEST_METHOD The HTTP request method.
SCRIPT_NAME The name of the script program being executed.

　　为了方便说清楚，也好让大家有个印象，举一个具体实例，看看这几个变量到底是指的什么吧。比如有映射.php，那么请求：

　　“GET /test.php/aaa/bbb?cgivartest HTTP/1.1”，REQUEST_METHOD=GET；QUERY_STRING=cgivartest；这是不容质疑的，那另三个变量是什么呢？个人觉得MSDN里面的定义还比较准确，就是上面那几个定义。照那么说来应该SCRIPT_NAME=test.php，这是那个要执行（也可能是被别的程序解释执行）的程序，PATH_INFO=/aaa/bbb，“script name”之后“query string”之前，假如WEB主目录是“d:\inetpub\wwwroot”，那么PATH_TRANSLATED=d:\inetpub\wwwroot\aaa\bbb。

　　但实际情况是如何的呢，让我们来看看。用常用的两种WEB服务器建立两个环境，以做对比，看看这两种WEB服务器的处理。