用戶上傳和刪除文件和文件夾的最佳文件權限

Question

1. 可以讓我們讓人們在服務器上上傳文件。上傳後我應該更改文件名稱 嗎？如果是的話，我怎麼能稍後告訴關於文件名稱，因爲在CMS我需要tpo提供他們與圖像或doc文件等的URL，所以他們引用他們，同時爲網站的文本。

2. 我編寫了一個程序，使用它我的用戶可以通過一些文件和文件夾 導航，他們可以創建文件夾和上傳文件夾提到裏面 任意擴展名的文件。不幸的是，我的代碼創建了777權限的所有文件和摺疊。我想知道 如果有人在文件夾中上傳.php文件並運行它，會發生什麼情況。他/她可以 刪除所有可能的東西嗎？你可以幫我提供正確的權限，我應該給這些文件 和文件夾。上傳者應該知道他/她上傳的圖片 ，因此在創建一些內容時，他可以將它們稱爲圖片的url或 office word文檔。請幫我安全洞。

謝謝。

Answer 1

1. 我建議您創建一些數據庫表作爲對這些文件的引用，以便您可以記錄舊名稱，並將文件系統中的名稱更改爲不同的名稱，以便永遠不會覆蓋具有相同名稱的現有文件或者甚至可以使用數據庫中的相同文件而不是文件系統。
2. 首先，您不應該允許用戶將任何可執行文件上傳到您的服務器，或者至少您需要將擴展​​名更改爲我認爲的其他內容。我不認爲777是必要的，你只需要確保php/web服務器處理器的文件夾r/w，這應該足以讓任何用戶訪問它們