suPHP有沒有安全性？

Question

我問過這個問題，雖然我提出了幾個獎勵，但我從來沒有得到太多的答案（參見here）。更一般地說，我想知道是否有suPHP的安全概念？什麼是自由於這些腳本獲得與用戶的權限執行要

www.example.com/rm-f-r.php 

或

www.example.com/return_some_iamge.php 

阻止任何人，它的基本保證acesss。

---

編輯爲了詳細說明上述情況，我的問題是一個概念上的一個。假設我們在/home/user/test.php有一個文件。讓這個文件做任何事情（rm -f -r /，獲取並返回一張圖片，重啓計算機......）如果我將瀏覽器指向該文件（假設包含的文件夾是Apache下的啓用網站），我該如何告訴瀏覽器只允許該文件的所有者執行它？

---

編輯2：我從來沒有明確說明這是我認爲suPHP僅用於與Apache，但我說的是驗證Linux用戶只用一個瀏覽器（即Web瀏覽器）。如果我們沒有進行身份驗證，那麼任何人在技術上都可以訪問服務器上的任何腳本（對於網站來說這不是問題，因爲他們始終將權限設置爲0644，所以基本上整個世界都可以看到。另一方面，有權限一般設置爲0700）

Answer 1

suPHP會影響PHP運行時的執行權限，用戶授權編寫.php文件。這意味着PHP程序作者只能讀取和寫入他自己擁有或以其他方式訪問的文件。

如果您在您的網站上放置了一個PHP文件，您可以使任何與您網站相關的人都可以公開運行 - 使用suPHP的不會更改此。如果沒有登錄到您的網站，所有網絡用戶都是匿名的，無法可靠地識別個人。 suPHP僅控制腳本執行時的本地權限，它不打算引入任何形式的Web用戶身份驗證或授權。

如果您想控制哪些用戶可以真正運行腳本，您需要實現一些登錄功能並強制用戶登錄到您的站點。然後添加一個檢查到敏感的PHP腳本（或Apache配置），如果當前登錄的Web用戶不是您希望執行該腳本的人，這將使其中止請求。