我問過這個問題,雖然我提出了幾個獎勵,但我從來沒有得到太多的答案(參見here)。更一般地說,我想知道是否有suPHP的安全概念?什麼是自由於這些腳本獲得與用戶的權限執行要suPHP有沒有安全性?
www.example.com/rm-f-r.php
或
www.example.com/return_some_iamge.php
阻止任何人,它的基本保證acesss。
編輯爲了詳細說明上述情況,我的問題是一個概念上的一個。假設我們在/home/user/test.php
有一個文件。讓這個文件做任何事情(rm -f -r /
,獲取並返回一張圖片,重啓計算機......)如果我將瀏覽器指向該文件(假設包含的文件夾是Apache下的啓用網站),我該如何告訴瀏覽器只允許該文件的所有者執行它?
編輯2:我從來沒有明確說明這是我認爲suPHP僅用於與Apache,但我說的是驗證Linux用戶只用一個瀏覽器(即Web瀏覽器)。如果我們沒有進行身份驗證,那麼任何人在技術上都可以訪問服務器上的任何腳本(對於網站來說這不是問題,因爲他們始終將權限設置爲0644
,所以基本上整個世界都可以看到。另一方面,有權限一般設置爲0700
)
你的問題還不清楚。服務器程序刪除文件或返回圖像的內在錯誤是什麼?什麼樣的訪問被「保證」?我無法分辨你想要問什麼,建議或防止什麼。 – Cheekysoft 2012-03-02 12:21:51
@Cheekysoft我會提出的問題 – puk 2012-03-02 12:44:35
我相當有信心我的問題沒有解決方案http://stackoverflow.com/a/9561335/654789 – puk 2012-03-06 04:39:57