我想使用session_id($id) 将会话替换为现有的。我将会话目录移动到/tmp/php_sess,并为该文件夹设置了 777 权限。
但是 PHP 在具有权限的文件夹中创建会话文件:
-rw-------
另一个脚本(来自 CLI)无法读取它。如何告诉 PHP 以所有人的权限创建文件(777)?
【问题讨论】:
我找到了一些解决方案。 PHP创建会话时,可以设置文件的权限。
session_start();
$path = session_save_path().'/sess_'.session_id();
chmod($path, 0777);
【讨论】:
我认为这是XY problem 的一个实例。我将尝试解决核心问题和您尝试的解决方案。
更改会话文件的权限。
在更改会话文件的模式之前三思而后行,注意相关的安全隐患。但是既然你问了,我们就假设你知道自己在做什么。
您有三个选择:
创建后对会话文件进行 Chmod
session_start();
$path = session_save_path() . '/sess_' . session_id();
chmod($path, 0640);
这就是你在your answer 中所做的。一个严重的问题是 您必须在对 session_start() 的任何调用之后添加 chmod 调用,即使它是在 PEAR 模块或任何其他第三方代码中完成的。这是维护的噩梦。
在session.save_path中设置模式
最好在php.ini 或.htaccess 中(通过php_value session.save_path …),但如果您无权访问其中任何一个,您可以直接从PHP 中使用ini_set(),在脚本开头附近的某个位置:
ini_set('session.save_path', '0;640;' . session_save_path());
从这三个中,我会选择这个,因为它很好地平衡了复杂性和简洁性。
实现您自己的会话存储
您可以随心所欲地实施会话。在您的代码中,您可以确保创建具有正确权限的文件。
想象一下这里有很多代码。即一个实现SessionHandlerInterface 的类,并在脚本开头附近的某个地方调用set_session_save_handler。
选择模式 640 假设创建会话的脚本和 CLI 脚本由同一组中的用户运行,并且 CLI 脚本只需要读取权限。如果不是这种情况,请使用 644(所有人都可以读取)、660(组可以读取和写入,其他人不能)或 666(所有人都可以读取和写入)。关注principle of least privilege。请注意,流程umask 可能会阻碍您的努力——您可以先更改它,例如。 G。通过umask(0022)。
使 CLI 脚本工作。
如果您在拥有会话文件的同一用户下运行 CLI 脚本,则无需更改其模式。模式 600 保证会话文件内容的安全。
如果您需要能够从另一个用户的帐户执行脚本,您可能需要 setuid 或 sudo,但请确保不要创建与使用时相同的安全漏洞高于 600 模式。
当 CLI 脚本确实需要在与创建会话的用户不同的用户下运行时,尝试的解决方案(更改会话文件的模式)实际上可能是正确的做法。我知道一个网站的脚本由多个用户编辑,都在同一个组中。每个 PHP 脚本都在其所有者下通过suphp 执行。如果一个脚本创建了一个会话文件,其他用户创建(因此拥有)的脚本就不能使用它。使会话工作所需的权限是 660,它仍然是一个相当安全的设置。保留 600 模式并在专用的人工用户下运行服务器和所有脚本会更好。
此答案的earlier version 比较了解决方案并详细提到了它们的优缺点。它还讨论了适当模式的选择。它的冗长让我有一种清理它的冲动,只留下最重要的部分。不过,您可能仍然会发现它很有用。
【讨论】: