3
我已經看到很多上傳表單被黑客攻擊,一些上傳的文件有一些非常好的安全檢查(至少我是這麼認爲的),但仍有人設法上傳一個PHP文件。設置上傳文件夾777權限是否安全?
我想知道:是否有上傳文件的上傳文件夾中有777個權限?我正在考慮使用HTTP PUT。
A
回答
6
一般情況下,777約爲不安全,因爲它得到......這意味着任何人都可以讀取和寫入您的文件。
如果您允許上傳的文件在您的服務器上運行,那麼HTTP PUT本質上不會比HTTP POST更安全。
總的來說,如果你的是允許執行任意文件,你需要在服務器端做很好的文件檢查,並且在服務器上使用chroot會是明智的。
權限方面,我通常設置Web服務器用戶擁有的任何Web訪問權限爲644。
1
您不需要,也不應該具有上傳文件夾的777權限。它應該足夠讓它只能讀取和寫入運行Web服務器的用戶(使用apache/debian,通常是www-data)。此外,您應該關閉(例如,通過.htaccess)您不想在此文件夾中發生的任何事情,例如執行PHP腳本(因此即使發生用戶上載PHP也無法執行)。 HTTP PUT不會改變您的777問題,導致該文件在上傳後仍然存在。
2
文件夾權限只是爲了確保您的httpd/Apache用戶可以寫入該文件夾。 其實你不需要爲你的存儲文件夾chmod 777。只要確保將所有者設置爲root並將其設置爲您正在運行的Apache/httpd用戶,或者只需將文件夾所有者設置爲您的Apache用戶即可。
chmod 774 /upload/folder:對所有者和組可寫,其他人剛剛閱讀。
PHP:如果該文件夾以某種方式引用用戶文檔根文件夾,則可以禁用該特定虛擬主機的PHP引擎。
如果該文件夾是您的系統/應用程序文檔根文件夾的一部分,那麼編輯 .htaccess文件並使用removeHandler Apache指令可能會有效。
相關問題
- 1. 如何在特定文件夾上設置777權限?
- 2. 權限拒絕錯誤設置777文件夾訪問
- 3. 上傳安全保護 - 我是否需要額外保護777文件夾
- 4. 笨緩存文件夾的權限777
- 5. 即使文件夾權限爲777
- 6. bash的權限設置爲777,但文件執行仍否認
- 7. 在Vista上設置文件夾權限
- 8. 如何在Homestead中的特定文件夾上設置777權限?
- 9. CKFinder上傳的文件有411個權限。如何將其設置爲777
- 10. 上傳文件和設置權限
- 11. WordPress的權限設置爲777
- 12. f77有777權限是否危險?
- 13. 將PHP文件權限設置爲完全的安全風險
- 14. 將權限設置爲777,生成的文件爲775
- 15. 具有完全權限的FTP上傳(CHMOD 777)
- 16. Ubuntu添加/上傳文件夾權限
- 17. 正確的文件夾上傳權限
- 18. Powershell - 設置文件夾權限
- 19. 跨域設置文件夾權限
- 20. Django文件夾權限設置?
- 21. PowerShell設置文件夾權限
- 22. 如何設置文件夾權限
- 23. 在設置文件夾權限
- 24. 使用powershell設置文件夾權限
- 25. 如何設置文件夾權限?
- 26. 文件權限安全apache
- 27. 安全django文件權限
- 28. 文件權限和安全
- 29. 即使權限是777
- 30. C#複製文件夾到安全/權限設置的另一個目標