寫在一個htaccess文件？

Question

.htaccess文件通過ftp上傳到目錄，該文件的所有者和組通常是ftp用戶和/或root用戶。

如果所述目錄的文件權限設置爲0777，那麼遠程腳本完全可以覆蓋所述.htaccess文件，或者每次嘗試總是被阻止，因爲所有者和.htaccess文件組是ftp用戶（和root），黑客（取決於他們試圖通過哪個端口進入）不會以ftp用戶身份登錄到服務器（也不希望root用戶）。

我問的原因是因爲我需要一個目錄權限0777，並擔心.htaccess文件（它可以防止腳本在所述目錄中運行）可以簡單地被覆蓋，這意味着所述服務器將是可以攻擊。

感謝， 約翰

Answer 1

就個人而言，我不會直接包含.htaccess文件設置權限0777。在這種情況下，我可能會建議將需要0777權限的文件移動到子目錄中。

Answer 2

如果腳本對該文件夾具有寫入權限，則無論如何，您都很容易受到攻擊。下面是從朋友的服務器上的真實故事爲例：

1. TimThumb的老版本允許文件被惡意上傳
2. 上傳的文件敘利亞殼牌，用於解密用戶權限並開始創建新的文件，一個腳本
3. 對入侵者進行訪問，服務器被有效地轉變爲釣魚網站的主機。

我強烈建議你看看你的結構。將寫入權限移至子目錄。希望這可以幫助。