本文记录于 2024 年 11 月。

版本选择原因：

• Discuz! X5 刚刚发布，生态尚未成熟，考虑到是老论坛升级，所以选择 X3.5。

• Discuz! X3.5 目前最高支持 PHP 8.2、MySQL 8.0。

完整升级步骤：

1. 购买新的 ECS、PolarDB，具体环境配置步骤参此文；

2. 安装宝塔面板并配置；

3. 安装 nginx 及 PHP；

4. 创建网站、配置 SSL、伪静态、防盗链、可写目录禁执行、仅允许部分入口文件执行等（.conf）；

5. 配置 hosts；

6. 如果是正式升级阶段，关闭论坛，防止产生新数据。

7. 备份原网站程序、PolarDB 数据库；

8. PolarDB 创建快照。

   测试阶段：从快照还原到新实例（MySQL 5.6 不能直接恢复到 MySQL 8.0），然后从 5.6 迁移到 8.0.x；

   正式阶段：全量模式直接从原实例迁移到 8.0.x，若增量模式且存在触发器，建议从快照还原；
   

9. 上传原网站程序到新的站点目录下；

10. 按 Discuz! X 升级文档升级 X3.4 至 X3.5；详情见下文 ↓；

11. 升级完成后切换到 PHP 8；
    

12. 配置 OSS、Redis、更新缓存等；

13. 测试论坛基本功能是否正常；检查附件是否能够正常上传；检查附件是否正常显示；全面检查控制台配置；

14. 逐个开启插件并检查兼容性（短信通、马甲引擎等）；

15. 按二开备忘录逐个按需进行二开；

16. 逐个修改调用论坛接口的项目及直接调用论坛数据库的项目；

17. 调试 MAGAPP 接口；

18. 尝试强制 https 访问；
    

19. 将以上所有修改后的程序保留备份；发布升级公告并关闭论坛；重复以上步骤；修改域名解析；开启论坛；
    

20. 配置 IP 封禁、定时器、日志、自动备份、配置其它 ECS 的 hosts 等；

21. 查看搜索引擎中收录的地址，是否有无法访问的情况；
    

22. 尝试将历史遗留的本地附件全部转移到 OSS；

23. 建议 在新服上创建 3 个网站：

1. 第 1 个用来尝试迁移、升级、二开，并测试所有功能；

2. 第 2 个用来再次重复这些步骤，最终保留程序代码及 UGC 文件，作为最终的网站程序，以正式域名作为网站根目录路径；

3. 第 3 个用来正式升级，主要功能是升级最新数据库。完成后修改第 2 个网站的数据库连接指向到最新的数据库，差异化同步新增的 UGC 文件到第 2 个网站。

Discuz! X 升级步骤及注意点：

• 因 PolarDB MySQL 不支持压缩，所以应移除 Discuz! 和 UCenter 代码中所有的 MYSQLI_CLIENT_COMPRESS，将 , MYSQLI_CLIENT_COMPRESS 替换为 /*, MYSQLI_CLIENT_COMPRESS*/。

• 升级前务必先修改 ./config/ 目录下的数据库/缓存连接信息，以防出现新站连接老库的情况；

• 按官方文档进行升级，升级前先修改一下：

• 【UC】先升级 UCenter 1.6 至 1.7。

  将 /uc_server/data 权限改为 777 并递归。

  打开 update_ucenter_adult.php 修改 $limit 值为 10000 以免执行超时。

  因通信失败的“发送通知失败”可以直接改 URL 参数跳过就完成了，原因可能是因数据量大，发送改名通知执行改名时超时。等DZ升级完成后UC会自动重试改名通知，或单独写个 php 文件将 UCenter 的用户名同步到应用的数据库。
  

• 【DZ】运行到 /install/update_adult.php?step=innodb&table=pre_common_member_grouppm 时报错：Duplicate key name 'gpmid' ALTER TABLE common_member_grouppm ADD INDEX gpmid(gpmid);

  解决方法：先删除索引，因保存时提示失败，应同时取消 gpmid 字段的自增，转换成功后再设置自增。
  

• 【DZ】运行到 /install/update_adult.php?step=file 一片空白而停止

  正在解决
  

• 【问题】common_menber 表用户名字段编码转换失败

  原因是部分用户名包含特殊字符（如全角空格），用以下语句查看两个表同一 uid 的不同用户：

  SELECT 
      u.uid, 
      u.username AS ucenter_username, 
      c.username AS common_username
  FROM 
      pre_ucenter_members u
  JOIN 
      pre_common_member c ON u.uid = c.uid
  WHERE 
      u.username <> c.username

  Discuz! 用户登录都是以 UCenter 中的用户名为主，所以可以写个小程序直接将 pre_ucenter_members 的用户名同步到 pre_common_member 中，另外 pre_ucenter_members 的用户数少于 pre_common_member 是正常的。若 pre_common_member_archive 表遇到错误同理。

• 如果用户登录慢，或打开 UCenter 慢，是因为 UC 正在通知 DZ 改用户名，每次打开一个页面会更改一个用户名，具体可以查看 pre_ucenter_notelist 中 closed 为 0 的队列，或进入 UC 后台-数据列表-通知列表 查看。

• 【问题】发布主题遇到错误：(1062) Duplicate entry '*' for key 'pid'

  【原因】forum_post 中的 pid 不是自动增长的，而是由表 forum_post_tableid 中自动增长的 pid 生成的。如果生成的 pid 值已在 forum_post 表中存在，则会出现此错误。

• 【解决】迁移数据库时应关闭论坛，以防止 forum_post 表有新数据插入。

• 【问题】打开帖子页面 ./thread-***-1-1.html 显示 404 Not Found，而 ./forum.php?mod=viewthread&tid=*** 可以正常打开

  【原因】未配置伪静态（可在宝塔面板中选择）

• 【问题】打开 UCenter 时报错：UCenter info: MySQL Query Error SQL:SELECT value FROM [Table]vars WHERE name='noteexists'

  【解决】打开文件 ./uc_server/data/config.inc.php 配置数据库连接

• 【问题】打开登录 UCenter 后一片空白

  【解决】将目录 ./uc_server/data/ 设为可写

• 需要将原来安装的插件文件移回 ./source/plugin/ 目录，并设置可写；

• 界面-表情管理，界面-编辑器设置-Discuz!代码

后续 Discuz! X3.5 小版本升级注意事项：

1. 确认插件是否支持新版本（如短信通）

2. 先创建一个新网站测试二开代码

3. 保留 /config/、/data/、/uc_client/data/、/uc_server/data/、/source/plugin/，其它移入 old

4. 上传文件

5. 移回其它需要的文件，如：

6. -- 勋章/loading/logo/nv 等：/static/image/common/

7. -- 表情：/static/image/smiley/

8. -- 水印：/static/image/common/watermark.*

9. -- 风格：/template/default/style/t2/nv.png 等

10. -- 默认头像：/uc_server/images/noavatar_***.gif

11. -- 根目录 favicon.ico 等
    

12. -- 及其它非 DZ 文件

13. 再次检查可写目录的写入权限和禁止运行 PHP 效果。

云服务器 ECS

云服务器 ECS - 安全组

云服务器 ECS - 快照 - 自动快照策略 - 关联云盘

云监控

云监控 - 应用分组：添加对应的服务器

云监控 - 主机监控 - 主机与插件操作 - 安装/升级Agent

云安全中心

云安全中心 - 漏洞管理 - 漏洞管理设置：根据操作系统勾选对应的 ECS

云安全中心 - 漏洞管理：一键扫描

云安全中心 - 防勒索：安装客户端并配置策略资产

云安全中心 - 主机规则管理：配置主机和防御策略，防暴力破解编辑策略

* 本文提及的部分功能可能需要付费

相关内容

如何搭建一台阿里云 ECS（Alibaba Cloud Linux / CentOS）

如何搭建一台阿里云 ECS（Windows Server）

阿里云的云监控插件无法获取实例ID等元数据服务，尝试在阿里云控制台实例中切换实例元数据访问模式：

一年前记录过浏览器上如何下载小鹅通的课程视频，现在发现那个插件已经不能用了，所以重新整理了一下，下载过程比上次简单多了。

插件还是那只可爱的小黄猫

GitHub 地址：https://github.com/xifangczy/cat-catch

浏览器扩展安装地址：Chrome / Edge / Firefox

与之前相比，功能改进了不少：

• “从头捕获”，不需要手动拖动进度条，生怕没有录制完全。但是实际使用还是会丢失一部分开头，希望下个版本改进；

• “使用 ffmpeg 合并”可以自动合并捕获的视频和音频，下载得到的是一个完整的视频文件；

• “自动跳转到缓冲尾”可以不间断加载、节省录制时间，对下载非直播画面非常有用；
  

• 可以设置播放速度，点击扩展图标，在“其他页面 / 媒体控制”中可以设置。但是有了“自动跳转到缓冲尾”，我觉得设置播放速度这个功能可有可无。

开始录制：

在浏览器上安装扩展后，打开需要录制视频的页面，点击缓存捕获：

然后在面板上点击“从头捕获”：

插件就自动开始从头播放并记录缓存了。

建议勾选“完成捕获自动下载”、“使用 ffmpeg 合并”。

如果是录制“非直播”，建议勾选“自动跳转到缓冲尾”。

另外两个选项“始终从头捕获”、“清理多余头部数据”我没有深入研究，有兴趣的自己研究下。

播放完成后，会自动打开一个“猫抓 cat-catch”的网页，自动使用 ffmpeg 进行转码与合并。

完成后自动下载该文件。

提示：如果要继续捕获其它视频，请先关闭那个“猫抓 cat-catch”网页，否则捕获完成后无法下载。

本文基于 manifest v3

插件使用 Web 技术开发

浏览器提供额外的插件 API

插件与网页分离，运行在一个独立的环境中

插件 API 功能

• 管理 Tabs、窗口、历史记录、书签、Cookies、下载、浏览数据、通知、网站权限

• 管理浏览器的外观和感觉 - 背景、主题、右键菜单、新标签页、启动页面

• 定制 DevTools

• 向网页注入脚本，与网页通信，与系统中的 Native 应用程序通信

• 修改/监听发送的 HTTP 请求/接收的回复

插件构成

* 即便 content script 是注入到网页中的，而且是运行在 Renderer 进程（与主网页相同的进程），但是它们仍运行在不同的世界（world）。主网页运行在 main world，插件的 content script 运行在 isolated world。比如说 main world 中有一个变量，它在 isolated world 中是访问不到的，但是如果修改了 dom，对其它世界是有影响的。

将 Chrome 插件迁移到 Edge

• 移除 Chrome 独有的 API（如调用 Google 账户）

• 移动 update_URL 字段（如果是从 Chrome 商店直接下载的包会有这个字段）

• 改名 Chrome 相关的文字（插件名称、描述文字）
  

参考文献

1. Microsoft Edge 扩展入门（官方）

2. 一小时精通Edge扩展开发Microsoft Edge 文档（视频）
   

本文过程较为复杂，且部分内容已无法实现，建议点击这里查阅最新的操作方法！

前言：本文操作需要你具备浏览器安装和使用扩展插件的能力、以及简单的使用命令行的能力。

第一步：下载视频

首先我使用 Edge 浏览器（Chrome 操作类似，不过安装扩展需要科学上网）。

2023 年初的时候，用 FetchV 这个扩展是非常方便的，它会自动嗅到网页中的视频，即使没有嗅到也可以用录制的方式来保存。

但到了过了一两个月发现 FetchV（及其马甲）经常打不开，或者无法嗅到视频流，更别提录制了。

所以我找到了另一款专业视频下载神器：

当然它的马甲们用法也是大同小异，主界面是这样的：

开启捕获，同意下载多个文件，然后播放视频，耐心等待。

心急的朋友可以用修改播放速度的扩展（如 视频加速减速控制），例如用 16 倍速，那么一个 16 分钟的视频用 1 分钟就播放完成了。（或者在 F12 的控制台中使用 JS 代码加速：document.querySelector('video').playbackRate = 16; ）

等小浮框提示“捕获完成 点击下载”的时候就可以保存到磁盘上了。

第二步：音频修复

下载后它会有两个 .mp4 文件保存到电脑上，其中较大的是视频部分，较小的是音频部分。

但是有个小问题是，这个音频文件用 Windows 自带播放器播放正常，用 potplayer 等第三方播放器或者一些视频编辑软件播放就会有问题。

我在 Microsoft Store 中找了一款叫 Movie Maker - Video Editor 的应用，

在这个软件中添加刚才的只有音轨的视频文件会提示转码，转码后的 .mp4 文件音轨就正常了。

具体步骤是依次点击“Create New Project”，“Add clip”，“Photo/Video”，选择文件后“Transcode”，保存以后默认会在文件名后加上“ (Transcoded).mp4”。

第三步：音视频合成

接下来是合成视频和音频，将视频文件命名为 v.mp4，音频文件命名为 a.mp4。

在 FFmpeg 官网下载 Windows 版，然后使用这个命令从音频文件中提取音轨：

ffmpeg -i a.mp4 -vn -acodec copy a.aac

再用这个命令将 v.mp4 的视频和 a.aac 的音频合成一个新的文件

ffmpeg -i v.mp4 -i a.aac -c:v copy -c:a copy -map 0:v:0 -map 1:a:0 output.mp4

相比于其它的视频转换工具，ffmpeg 直接提取合并的速度是极快的。

Tips：

• 小鹅通中学习过的课程再次打开会从上次关闭的地方开始播放，这会导致捕获不全，可以将进度条手动拖到末尾，这样它会停止播放，再次刷新就会从头开始播放。

• 浮框中“点击下载”可能没反应，估计是在合成文件，过几秒钟多点几下，不会重复下载。

• 如果要下载的视频比较长或者比较多，可以像我一样在虚拟机里进行，把视频播放器的音量开到最大，把操作系统的声音关闭。

本文将详细介绍 stable diffusion webui 的下载、安装及问题解决。
Stable Diffusion 是 2022 年发布的深度学习文本到图像生成模型。它主要用于根据文本的描述产生详细图像，尽管它也可以应用于其他任务，如内补绘制、外补绘制，以及在提示词（英语）指导下产生图生图的翻译。它是一种潜在扩散模型，由慕尼黑大学的 CompVis 研究团体开发的各种生成性人工神经网络。它是由初创公司 StabilityAI，CompVis 与 Runway 合作开发的，并得到 EleutherAI 和 LAION 的支持。
其它问题请参考：

• 运行使用时问题《Windows 使用 Stable Diffusion 时遇到的各种问题整理》；

• 模型运用及参数《Stable Diffusion 个人推荐的各种模型及设置参数、扩展应用等合集》；

• 提示词生图咒语《Stable Diffusion 提示词词缀使用指南（Prompt）》；

• 不同类的模型Models说明《解析不同种类的 Stable Diffusion 模型 Models》；

• 绘制人物动作及手脚细节《Stable Diffusion 准确绘制人物动作及手脚细节（需 ControlNet 扩展）》；

• 各种风格对比及实际运用《AI绘图风格对照表/画风样稿详细研究记录及经验总结》；

一、环境准备

（一）硬件方面：

1. 显存

4G 起步，4G 显存支持生成 512*512 大小图片，超过这个大小将卡爆失败。

2. 硬盘

10G 起步，模型基本都在 5G 以上，有个 30G 硬盘不为过吧？现在硬盘容量应该不是个问题。

（二）软件方面：

1. Git

https://git-scm.com/download/win
下载最新版即可，对版本没有要求。

2. Python

https://www.python.org/downloads/
截止发稿（2023.3.6）时，最高版本只能用 3.10.*，用 3.11.* 会出问题。

3. Nvidia CUDA

https://developer.download.nvidia.cn/compute/cuda/11.7.1/local_installers/cuda_11.7.1_516.94_windows.exe
版本 11.7.1，搭配 Nvidia 驱动 516.94，可使用最新版。

4. stable-diffusion-webui

https://github.com/AUTOMATIC1111/stable-diffusion-webui
核心部件当然用最新版本~~但注意上面三个的版本的兼容性。

5. 中文语言包

https://github.com/VinsonLaro/stable-diffusion-webui-chinese
下载 chinese-all-0306.json 和 chinese-english-0306.json 文件

6. 扩展（可选）

https://github.com/Mikubill/sd-webui-controlnet
下载整个 sd-webui-controlnet 压缩包

https://huggingface.co/Hetaneko/Controlnet-models/tree/main/controlnet_safetensors
https://huggingface.co/lllyasviel/ControlNet/tree/main/models
https://huggingface.co/TencentARC/T2I-Adapter/tree/main
试用时先下载第一个链接中的 control_openpose.safetensors 或 第二个链接中的 control_sd15_openpose.pth 文件

7. 模型

https://huggingface.co/models
https://civitai.com
可以网上去找推荐的一些模型，一般后缀名为 ckpt、pt、pth、safetensors ，有时也会附带 VAE（.vae.pt）或配置文件（.yaml）。

这里可以学习一下模型的基本概念《解析不同种类的 Stable Diffusion 模型 Models，再也不用担心该用什么了》

二、安装流程

1. 安装 Git

就正常安装，无问题。

2. 安装 Python

建议安装在非 program files、非 C 盘目录，以防出现目录权限问题。
注意安装时勾选 Add Python to PATH，这样可以在安装时自动加入 windows 环境变量 PATH 所需的 Python 路径。

3. 安装 Nvidia CUDA

正常安装，无问题。

4. 安装 stable-diffusion-webui

国内需要用到代理和镜像，请按照下面的步骤操作：

a) 编辑根目录下 launch.py 文件
将 https://github.com  替换为 https://ghproxy.com/https://github.com，即使用  Ghproxy 代理，加速国内 Git。
如图将代码中所有类似地址都改掉（注意：不仅仅是图中所展示的这些）。

b) 执行根目录下 webui.bat 文件
根目录下将生成 tmp 和 venv 目录。

c) 编辑 venv 目录下 pyvenv.cfg 文件
将 include-system-site-packages = false 改为 include-system-site-packages = true。

d) 配置 python 库管理器 pip
方便起见，在 \venv\Scripts 下打开 cmd 后执行如下命令：

pip config set global.index-url https://mirrors.aliyun.com/pypi/simple/ # 镜像
pip freeze > requirements_versions.txt # 创建文件
pip install -r requirements_versions.txt # 执行此条命令前，请检查你的剩余磁盘空间
pip install xformer # 如果不执行此条命令，启动 Stable Diffusion 时可能会出现错误。xformer 还可以在后续使用中降低显卡占用。

xformer 会安装到 \venv\Lib\site-packages 中，安装失败可以用 pip install -U xformers 命试试。

e) 安装语言包
将文件 chinese-all-0306.json 和 chinese-english-0306.json 放到目录 \localizations 目录中。
运行 webui 后进行配置，操作方法见下。

f) 安装扩展（可选）
将 sd-webui-controlnet 解压缩到 \extensions 目录中。
将 control_sd15_openpose.pth 文件复制到 /extensions/sd-webui-controlnet/models 目录中。
不同的扩展可能还需要安装对应的系统，比如 controlnet 要正常使用则还需要安装 ffmpeg 等。

g) 安装模型
下载的各种模型放在 \models\Stable-diffusion 目录中即可。

h) 再次执行根目录下 webui.bat 文件
用浏览器打开 webui.bat 所提供的网址即可运行。

其中提供了网址：http://127.0.0.1:7860。

打开该网址后在 Settings -> User interface -> Localization (requires restart) 设置语言，在菜单中选择 chinese-all-0220（前提是已经在目录中放入了对应语言包，见上），点击 Apply Settings 确定，并且点击 Reload UI 重启界面后即可。

好了，现在可以开始使用了~~

三、问题及注意点

1. python 版本错误

错误：


ERROR: Could not find a version that satisfies the requirement torch==1.13.1+cu117
ERROR: No matching distribution found for torch==1.13.1+cu117

这是由于 python 版本不对导致的（上面提过了，截止发稿时不能追求新版本），要用 python 3.10.* 版本。
解决来源：https://github.com/AUTOMATIC1111/stable-diffusion-webui/issues/7166

2. pip版本错误

警告：

[notice] A new release of pip available: 22.3.1 -> 23.0.1
[notice] To update, run: D:\stable-diffusion-webui\venv\Scripts\python.exe -m pip install --upgrade pip

提示中已经给出了解决方案：
在 \venv\Scripts\ 目录中打开 cmd，执行

python.exe -m pip install --upgrade pip

3. 安装或执行停滞

如果在执行 webui.bat 进行包下载安装时或者生成图片时会卡很久都没反应，那么这时可以复制包名，进入 python 安装目录或 \venv\Scripts\ 目录中打开 cmd，执行

pip install 包名

也可以通过任务管理查看网络状态，如果网络在玩命下载，那么就等着吧~~

4. xFormers 安装不上

很多同学都反应 xformers 无法安装，可以用以下的方法试试：

• 检查 Dreambooth 要求的 Python 版本：
  如果您的 Python 版本低于 3.6，请安装最新的 Python 版本，并重复尝试安装 xformers。

# 据此可以在终端中运行以下命令，以检查您的 Python 版本：
python --version

• 安装依赖项：xformers 有许多依赖项，如果这些依赖项没有正确安装可能会导致升级失败。您可以尝试安装以下依赖项：

pip install numpy scipy torch torchaudio transformers

• 清除 pip 缓存并重新安装：

# 清除 xformers 缓存：运行以下命令清除 xformers 缓存。
pip uninstall -y xformers
pip cache purge

# 更新 pip：确保您正在使用最新版本的 pip，可以运行以下命令更新 pip。
pip install --upgrade pip

# 安装 xformers：在清除了缓存并更新了 pip 之后，重新安装 xformers。
pip install xformers

• 手动安装 xformers 指定版本
  如果上述步骤仍然无法解决问题，可尝试手动安装 Dreambooth 所需的 xformers 版本。在 Dreambooth 的文档中，可以找到 xformers 的版本要求。

pip install xformers==0.0.17.dev465

• 使用 conda 环境
  如果您使用的是 conda 环境，请尝试在 conda 环境中安装 xformers。

# 创建 conda 环境
conda create --name myenv

# 激活 conda 环境并安装 xformers
conda activate myenv
pip install xformers

• 网络问题
  如果已经配置好了代理，就不要考虑这个了。
  检查网络连接：请确保您的计算机与互联网连接，并且网络连接没有被防火墙或代理服务器阻止：

# 检查网络连接是否正常
ping google.com

• 非必要
  你确定需要使用 xformers 么？如果不需要，可以在 webui-user.bat 中把 --xformers 去掉试试。

• 其它
  如果上述方法还是无法解决问题，请尝试在 OpenAI 的论坛或者 Dreambooth 的 GitHub 页面上寻求更多帮助。-_-!

5. 其他安装问题

删除 /tmp 和 /venv 目录后重启 webui.bat 试试。

6. 硬件问题

一般显卡不达标，就会爆卡，解决办法就是编辑根目录下 webui-user.bat 文件，试一下修改参数 COMMANDLINE_ARGS 即可。

以下几个设置逐一测试看看哪个适合自己。

set COMMANDLINE_ARGS=--lowvram --precision full --no-half --skip-torch-cuda-test
set COMMANDLINE_ARGS=--lowvram --precision full --no-half
set COMMANDLINE_ARGS=--lowvram

本机显存 4G，使用最后一个配置方法，可以烧出 2048*1080 的图，前两种方法反而会在最后爆卡。

最后，预祝各位成功~~

dog drink~~ where is dog?

参考：
【AI 繪畫】Stable-Diffusion 通過骨架分析插件 ControlNet 來製作超有意境的圖片
Stable Diffusion 2.1 + WebUI 的安装与使用（极详细）
低配显卡想玩 Stable Diffusion？修改一个配置就行
整合包

首先，禁止网站下所有 .php 等文件均不允许被访问到。

在 nginx 网站配置文件中，include enable-php-**.conf; 上方插入：

location ~ ^/.*\.(php|php5|py|sh|bash|out)$ { deny all; }

其中，^ 匹配开始，/.* 匹配所有目录和文件名，\.(php|php5|py|sh|bash|out) 匹配文件后缀名，$ 匹配结束。

即便如此，仍然忽略了 nginx 中 .php 文件名后加斜杠仍然能访问到的情况，譬如我们访问这个网址：

https://xoyozo.net/phpinfo.php/abc.html

nginx 仍然运行了 phpinfo.php，给了后门可趁之机，所以改进为：

location ~ ^/.*\.(php|php5|py|sh|bash|out)(/.*)?$ { deny all; }

Discuz! X3.4 需要写入权限的目录：

• /自研目录/upload/

• /config/

• /data/

• /uc_client/data/

• /uc_server/data/

• /source/plugin/

但，这些都不重要，我们已经禁止了所有目录的 .php 访问了。

第二步，解禁需要直接被访问到的文件路径。

Discuz! X3.4 根目录下的 .php 文件都是入口文件，需要能够被访问到：

/admin.php
/api.php
/connect.php
/forum.php
/group.php
/home.php
/index.php
/member.php
/misc.php
/plugin.php
/portal.php
/search.php

其它目录中需要被直接访问到的文件：

/archiver/index.php
/m/index.php
/uc_server/admin.php
/uc_server/avatar.php
/uc_server/index.php

部分插件文件需要能够被直接访问到：

/source/plugin/magmobileapi/magmobileapi.php
/source/plugin/smstong/accountinfo.php
/source/plugin/smstong/checkenv.php

另外如果有自建目录需要有 .php 访问权限，那么也需要在此处加白，本文以 /_/ 目录为例

最终拼成：工具

location ~ ^(?:(?!(/admin\.php|/api\.php|/connect\.php|/forum\.php|/group\.php|/home\.php|/index\.php|/member\.php|/misc\.php|/plugin\.php|/portal\.php|/search\.php|/archiver/index\.php|/m/index\.php|/uc_server/admin\.php|/uc_server/avatar\.php|/uc_server/index\.php|/source/plugin/magmobileapi/magmobileapi\.php|/source/plugin/smstong/accountinfo\.php|/source/plugin/smstong/checkenv\.php|/_/.*\.php))/.*\.(php|php5|py|sh|bash|out)(/.*)?)$ { deny all; }

这里用到正则表达式中的“不捕获”和“负向零宽断言”语法，格式为：

^(?:(?!(允许的目录或文件A|允许的目录或文件B))禁止的目录和文件)$

值得注意的是，此句负向零宽断言中的匹配内容是匹配前缀的，也就是说

https://xoyozo.net/index.php
https://xoyozo.net/index.php/abc.html

都可以访问到，而

https://xoyozo.net/forbidden.php
https://xoyozo.net/forbidden.php/abc.html

都访问不到，这是符合需求的。

如果自建目录 /_/ 下有写入需求，单独禁止即可，以 /_/upload/ 为例：

location ~ ^/_/upload/.*\.(php|php5|py|sh|bash|out)(/.*)?$ { deny all; }

ThinkPHP 网站有统一的访问入口，可按本文方法配置访问权限。

特别注意：上面的代码必须加在 PHP 引用配置（include enable-php-**.conf;）的上方才有效。

附：一键生成 nginx 访问控制 location URI { } 语句工具

在 Notepad++ 工具菜单上选择：插件 - 插件管理，搜索“HEX-Editor”，选中并点击安装。

然后点击：插件 - HEX-Editor - View In HEX，就可以查看了。