上傳安全保護 - 我是否需要額外保護777文件夾

Question

我剛開始使用php上傳文件。

根據我的理解，您需要將文件夾的屬性設置爲777，以便任何人都可以上傳到該位置。

這很好，我只是明顯地保留那些不敏感的信息，它的基本圖像顯示回公衆。

但是，如果有人不知道圖像名稱到我的服務器文件夾或只有當我的服務器上的php文件纔可能有人可以運行刪除語句？

即刪除myimage.png

基本上我的問題是不是像限制上傳.png格式，使用正常的安全防範措施等基本名稱等我是否需要採取額外的安全措施，以防止有人刪除文件文件夾或只能從我的網絡服務器上的腳本完成？

我不會使用任何後期的方法來刪除圖像或類似的東西，但我只是不確定是否有可能利用777權限的文件夾和做未經授權的東西，因爲我給了完全訪問該文件夾。

Answer 1

通過777你實際上給你的服務器所在機器的用戶提供對全部的讀/寫/執行訪問。請注意，這並不意味着即使網站訪問者可以直接讀/寫/執行。它始終是你的網絡服務器（Apache）。

但是有人可以不只是運行一個DELETE語句，如果他們知道圖像的名字到我的服務器文件夾或者是隻有當php文件是我的服務器

。如果你的PHP腳本有洞，那麼，是的。如果你的網站服務器上有孔的話，肯定:)

我需要用更嚴格的權限在777文件夾

是的，你可以做額外的保護。將公共上傳文件夾的所有者設置爲apache（大多數爲www-data），將權限設置爲755，或者甚至可以將組775的權限寫入該組。

Answer 2

你可以更改文件夾權限777至755或744.