Предоставить загрузочную папку для этих разрешений безопасно или нет?

У меня есть сайт объявлений с графическим сценарием для загрузки фотографий в объявления.

Фотографии загружаются в директорию «images».

PHP-код, который делает это, требует права на запись в каталог, который я угадываю …

Итак, какие разрешения вы установили бы в php upload file и каталог images ?

Я так думаю:

  drwxr-xr-x 

Безопасно / хорошо или нет?

благодаря

ТАКЖЕ, еще один короткий вопрос: Должны ли я иметь файлы своих сайтов, owned имени username меня есть, или я должен хранить их в root ?

drw-r – r– (644). Будьте осторожны с тем, чтобы пользователи могли нажимать php / другие скрипты и исполняемые файлы на ваш сервер.

Будьте осторожны с тем, что пользователи могут нажимать js и html-файлы на ваш сайт.

Владеет именем пользователя, которое у вас есть для вашего веб-сервера. Не создавайте собственные файлы root, у которых нет бизнеса. Корень – это администратор, а не ваш веб-сервер.

Посмотрите файл php.ini для upload_tmp_dir =

сделать .htaccess с

 <Files ^(*.jpeg|*.jpg|*.png|*.gif)> order deny,allow deny from all </Files> 

чтобы разрешить загрузку только этих файлов. И проверьте с помощью функции php перед загрузкой в ​​свой код.

Перемещение папки вне www-root полезно. Вы также можете сделать apache владельцем.

источник