File 文件权限和安全性
在我的CMS中,我有一个PHP脚本,它打开一个.htm文件来编写-fopen('footer.htm','w+')。这适用于footer.htm上设置为666的文件权限,但如果设置为664则不起作用 通过将公共权限设置为“写入”,我是否会使此文件受到滥用或黑客攻击 我使用的是Apache虚拟服务器。这取决于具体情况 要修改文件,攻击者必须能够在服务器上执行某种代码,例如具有shell访问权限。如果是这种情况,那么权限是您的最小问题 如果您在共享托管环境中(您不知道的其他客户使用您的Web服务器),如果您的提供商没有设置其安全权限,并且他们知道路径,那么这些其他用户也可能会更改该文件 设置666个权限并不被认为是最佳实践。但是,大多数此类攻击都发生在Web服务器上,因此重新限制权限并不能解决问题,因为服务器需要具有写访问权限 那么你能做什么: 将模式更改为664,并将组更改为正在运行的Web服务器的组-其他用户仍可以通过使用该Web服务器进行写访问 你应该做什么:File 文件权限和安全性,file,security,permissions,File,Security,Permissions,在我的CMS中,我有一个PHP脚本,它打开一个.htm文件来编写-fopen('footer.htm','w+')。这适用于footer.htm上设置为666的文件权限,但如果设置为664则不起作用 通过将公共权限设置为“写入”,我是否会使此文件受到滥用或黑客攻击 我使用的是Apache虚拟服务器。这取决于具体情况 要修改文件,攻击者必须能够在服务器上执行某种代码,例如具有shell访问权限。如果是这种情况,那么权限是您的最小问题 如果您在共享托管环境中(您不知道的其他客户使用您的Web服务器)
确保没有恶意代码写入该文件。如果我发现这样的代码,我很有信心找到持久的跨站点脚本漏洞。文件/文件夹的所有者是运行PHP的用户吗?看来不是。