2011-09-29 58 views
0

我在我的web服務器上安裝了tcpdf並使用它來生成pdf發票。它有一個緩存文件夾,我的Web服務器用戶組www-data可以創建和刪除文件。PHP:帶有寫入權限的緩存文件夾的tcpdf安全考慮

能黑客

一)創建該文件夾中的文件和

二)執行它們爲PHP?

我應該將緩存文件夾移動到www目錄之外嗎?我試圖cd進入文件夾,但用我自己的用戶名獲得許可錯誤,所以我想知道如果這一步是必要的。

回答

1

如果您沒有對用戶組進行任何更改,則www數據組僅用於記錄目的,並且不能被瀏覽器訪問。數據用戶將能夠創建,但不應該刪除任何東西。但至於擔心黑客訪問你的網站,只要你沒有改變這個用戶的任何權限。

+0

非常感謝你的解釋亞當。我是否應該將該文件夾移出www? –

+0

我個人不會擔心緩存文件通常只是一堆混亂的字母和數字,你無法真正理解。如果您擔心這一點,並且確實將其移出www文件夾,請確保在配置中指定了將其移至的位置。如果緩存文件夾不存在,則腳本無法預載圖像,反過來會佔用大量內存並可能超時。所以你的電話就是你想要做的。 –