设置uploads文件夹777权限是否安全?
[英]Is setting the uploads folder 777 permission secure?
问题描述
我看到很多上传表单被黑了,有些对上传的文件有一些非常好的安全检查(至少我是这么认为),但还是有人设法上传了一个PHP文件。
我想知道:有没有办法在uploads文件夹中上传具有777权限的文件? 我正在考虑使用HTTP PUT。
3 个解决方案
解决方案1
6 已采纳 2009-10-16 11:35:36
一般来说,777就像它一样不安全 ......这意味着任何人都可以读取和写入你的文件。
如果您允许在服务器上使用上传的文件,则HTTP PUT本身并不比HTTP POST更安全。
总的来说,如果你允许执行任意文件,你需要做非常好的文件检查服务器端,并在服务器上使用的chroot将是明智的。
权限方面,我通常设置Web服务器用户拥有的644可访问的任何内容。
解决方案2
2 2009-10-16 11:47:39
文件夹权限只是为了确保您的httpd / Apache用户可以写入该文件夹。 实际上你不需要为你的存储文件夹chmod 777。 只需确保将所有者设置为root并将其分组到正在运行的Apache / httpd用户,或者只是将文件夹所有者设置为Apache用户。
chmod 774 /upload/folder :可写为所有者和组,其他人只是阅读。
PHP:如果该文件夹以某种方式引用用户文档根文件夹,则可以禁用该特定虚拟主机的PHP引擎。
如果该文件夹是系统/应用程序文档根文件夹的一部分,则编辑.htaccess文件并使用removeHandler Apache指令可能会起作用。
解决方案3
1 2009-10-16 11:36:37
您不需要也不应该对上传文件夹拥有777权限。 它应该足以让它只能为运行Web服务器的用户读取和写入(使用apache / debian通常是www-data)。 另外,你应该关闭(例如通过.htaccess)你不想在这个文件夹中发生的任何事情,比如执行PHP脚本(所以即使发生用户上传PHP也无法执行)。 HTTP PUT不会更改您的777问题,因为文件在上传后仍然存在。
php中的mkdir()将文件夹权限设置为755但是我需要777吗?
[英]mkdir() in php is setting folder permission to 755 But I Need 777?
PHP / Wordpress - 未经许可777无法保存到上传目录
[英]PHP/Wordpress - Can't save to uploads directory without permission 777
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.