У меня есть сайт объявлений с графическим сценарием для загрузки фотографий в объявления.
Фотографии загружаются в директорию «images».
PHP-код, который делает это, требует права на запись в каталог, который я угадываю …
Итак, какие разрешения вы установили бы в php upload file
и каталог images
?
Я так думаю:
drwxr-xr-x
Безопасно / хорошо или нет?
благодаря
ТАКЖЕ, еще один короткий вопрос: Должны ли я иметь файлы своих сайтов, owned
имени username
меня есть, или я должен хранить их в root
?
drw-r – r– (644). Будьте осторожны с тем, чтобы пользователи могли нажимать php / другие скрипты и исполняемые файлы на ваш сервер.
Будьте осторожны с тем, что пользователи могут нажимать js и html-файлы на ваш сайт.
Владеет именем пользователя, которое у вас есть для вашего веб-сервера. Не создавайте собственные файлы root, у которых нет бизнеса. Корень – это администратор, а не ваш веб-сервер.
Посмотрите файл php.ini для upload_tmp_dir =
сделать .htaccess с
<Files ^(*.jpeg|*.jpg|*.png|*.gif)> order deny,allow deny from all </Files>
чтобы разрешить загрузку только этих файлов. И проверьте с помощью функции php перед загрузкой в свой код.
Перемещение папки вне www-root полезно. Вы также можете сделать apache владельцем.
источник