我不小心进入了:
sudo php composer.phar require guzzlehttp/guzzle
我读到我不应该以 root/超级用户身份运行 Composer,尤其是安装/更新/执行。
我的问题是,是否需要另一个赋予第三方执行能力的命令?之后我立即删除了该实例,但是如果出于某种原因第三方可以安装脚本,我恐怕必须更改所有密码
我在一个 bitnami linux 机器上。
【问题讨论】:
标签: php composer-php guzzle
如Composer website中所述:
某些 Composer 命令(包括 exec、install 和 update)允许第三方代码在您的系统上执行。这来自它的“插件”和“脚本”功能。插件和脚本对运行 Composer 的用户帐户具有完全访问权限。因此,强烈建议避免以超级用户/root 身份运行 Composer。
如您所见,此建议是因为当您授予 root 权限时(通过在命令前加上 sudo),您将要安装的插件或脚本拥有对 root 帐户的完全访问权限强>!这意味着如果插件/脚本是恶意软件,那么请安息吧! ;-)
特别是关于您的情况,guzzle 库是一个众所周知的 php 库,并且不会成为恶意软件,所以请放心,您的系统没有发生任何问题。 :-)
【讨论】: