File 文件权限和安全性

在我的CMS中，我有一个PHP脚本，它打开一个.htm文件来编写-fopen（'footer.htm'，'w+'）。这适用于footer.htm上设置为666的文件权限，但如果设置为664则不起作用

通过将公共权限设置为“写入”，我是否会使此文件受到滥用或黑客攻击

我使用的是Apache虚拟服务器。

这取决于具体情况

要修改文件，攻击者必须能够在服务器上执行某种代码，例如具有shell访问权限。如果是这种情况，那么权限是您的最小问题

如果您在共享托管环境中（您不知道的其他客户使用您的Web服务器），如果您的提供商没有设置其安全权限，并且他们知道路径，那么这些其他用户也可能会更改该文件

设置666个权限并不被认为是最佳实践。但是，大多数此类攻击都发生在Web服务器上，因此重新限制权限并不能解决问题，因为服务器需要具有写访问权限

那么你能做什么： 将模式更改为664，并将组更改为正在运行的Web服务器的组-其他用户仍可以通过使用该Web服务器进行写访问

你应该做什么：

---

确保没有恶意代码写入该文件。如果我发现这样的代码，我很有信心找到持久的跨站点脚本漏洞。

文件/文件夹的所有者是运行PHP的用户吗？看来不是。