設置uploads文件夾777權限是否安全?
[英]Is setting the uploads folder 777 permission secure?
問題描述
我看到很多上傳表單被黑了,有些對上傳的文件有一些非常好的安全檢查(至少我是這么認為),但還是有人設法上傳了一個PHP文件。
我想知道:有沒有辦法在uploads文件夾中上傳具有777權限的文件? 我正在考慮使用HTTP PUT。
3 個解決方案
解決方案1
6 已采納 2009-10-16 11:35:36
一般來說,777就像它一樣不安全 ......這意味着任何人都可以讀取和寫入你的文件。
如果您允許在服務器上使用上傳的文件,則HTTP PUT本身並不比HTTP POST更安全。
總的來說,如果你允許執行任意文件,你需要做非常好的文件檢查服務器端,並在服務器上使用的chroot將是明智的。
權限方面,我通常設置Web服務器用戶擁有的644可訪問的任何內容。
解決方案2
2 2009-10-16 11:47:39
文件夾權限只是為了確保您的httpd / Apache用戶可以寫入該文件夾。 實際上你不需要為你的存儲文件夾chmod 777。 只需確保將所有者設置為root並將其分組到正在運行的Apache / httpd用戶,或者只是將文件夾所有者設置為Apache用戶。
chmod 774 /upload/folder :可寫為所有者和組,其他人只是閱讀。
PHP:如果該文件夾以某種方式引用用戶文檔根文件夾,則可以禁用該特定虛擬主機的PHP引擎。
如果該文件夾是系統/應用程序文檔根文件夾的一部分,則編輯.htaccess文件並使用removeHandler Apache指令可能會起作用。
解決方案3
1 2009-10-16 11:36:37
您不需要也不應該對上傳文件夾擁有777權限。 它應該足以讓它只能為運行Web服務器的用戶讀取和寫入(使用apache / debian通常是www-data)。 另外,你應該關閉(例如通過.htaccess)你不想在這個文件夾中發生的任何事情,比如執行PHP腳本(所以即使發生用戶上傳PHP也無法執行)。 HTTP PUT不會更改您的777問題,因為文件在上傳后仍然存在。
php中的mkdir()將文件夾權限設置為755但是我需要777嗎?
[英]mkdir() in php is setting folder permission to 755 But I Need 777?
PHP / Wordpress - 未經許可777無法保存到上傳目錄
[英]PHP/Wordpress - Can't save to uploads directory without permission 777
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.