Php FTP用户可以窃取网站的源代码吗？

您好，我创建了一个FTP帐户，并将其设置为仅访问特定文件夹“xyz”。我想问你，他是否可以通过将php脚本文件上传到ftp文件夹“xyz”即“文件管理器脚本”来访问保存在父文件夹中的php脚本文件

例如，如果域根为：

---

我将他设置为仅访问xyz文件夹。但是，如果他上传“xyz”文件夹中的任何php脚本，那么他可以下载保存在“mainsite”文件夹中的php文件吗？

这完全取决于服务器配置，但您可以通过在FTP文件夹中创建一个php文件来测试这一点：

echo file_get_contents('../foo.txt');

---

为什么不把你的FTP文件夹放在你的网站树之外呢。任何文件夹中的任何PHP脚本都可以访问用户PHP正在运行的任何文件。因此，如果您的www-data/apache/nobody用户可以访问文件，那么您的web服务器中运行的php脚本也可以访问它。不允许用户将文件上载到您的wwwroot或其子目录将是一个开始。ftp用户可以上载任何文件，我如何阻止他上载php文件？？请这不是关于文件类型，而是关于它们的位置和权限。您的问题中信息太少，无法给出一个好的答案（为什么您需要用户通过FTP上传文件，为什么该目录是wwwroot的同级目录，等等）。在另一个网站上，如SuperUser或ServerFault，如何设置服务器权限可能也是一个更好的问题。我开发了一个价值1200美元的web应用程序，我想让用户只上传特定文件夹中的图像文件。FTP更快，所以我给了他FTP。让人们访问数据库管理界面也比构建HTML表单让他们发表评论快，但这并不意味着这是最好的方式。无论如何，就像几次暗示的那样：不要允许他们上传到wwwroot的子目录。