PHP 脚本/目录的权限是什么？

Question

我正在尝试帮助一位朋友将网站从一个网络酒店转移到另一个。 老地方已经关门了，我只有一个扁平的 tar 文件。

该网站包含 HTML 文档，并且可以下载一个小的 Java 应用程序（要加载到手机上）以将数据发送到该网站。

移动 Java 应用程序向URL=<HOST>/php/register.php 发送了一个字符串。此 php 脚本包含另一个 php 脚本 (../inc/db_login.php)，它使用 $link=mysql_connect() 连接到 SQL DB。另一个文件register.php 进行了 SQL 插入，用于将新发送的数据放入数据库中。

我的问题基本上是，我应该把这 2 个 PHP 文件放在新网站的什么地方，目录和文件应该有什么权限？

旧的网络服务器显然有一个/php 和/inc 目录。这些都不存在于新的网络服务器上。我应该创建它们吗？他们应该有什么权限？我猜想将密码放在单独的 PHP 文件中的原因是安全性。 /php 和 /inc 目录可能有不同的权限。

新服务器有目录：

• /httpdos
• /httpsdos
• /cgi-bin
• /conf（还有一些可能无关紧要）

我的问题

1. 文件扩展名 (.php) 是否对服务器意味着什么：由于 PHP 脚本“包含”在 HTML 代码中（<?...?> 之间，服务器是否需要查看文件后缀或无关紧要？（我知道服务器当然会对<?...?>做出反应）

2. 应该将公共文件（在我的情况下为register.php）放在httpdocs/ 目录中还是服务器（我认为是apache）对某些内容做出反应并将其提取到另一个目录中？

3. PHP 脚本应该有权限R-X（读取和执行）、--X（执行）还是R--（读取）？从操作系统的角度来看，我猜 apache 只是在读取这些文件，这意味着它们应该是 R--，但这意味着如果 PHP 服务“停止”，客户端将在其浏览器中获取所有 PHP 代码（？）。我更喜欢它是--X，但由于它既不是二进制也没有#!，我猜它一定是--R？

4. 如果公共 PHP 脚本可以放在另一个目录中（例如 /php 而不是 /httpdocs）/php（和脚本）应该有什么权限？我猜服务器必须知道这个/php 目录（或者有通常的默认值吗？）

5. 我猜包含的 PHP 脚本（../inc/db_login.php，包含 SQL 密码）不应该在 /httpdocs 下。这意味着我的register.php 包含一个不在/httpdocs 子树下的文件。这行得通吗？服务器需要知道吗？

我了解您可能需要了解服务器配置。只需假设您的答案中的默认值（如果是，您可以告诉它在哪里更改）。

Answer 1

目录必须具有执行权限才能使用。通常这是0755。通过mod_php 运行的PHP 脚本不会被执行而是被读取； 0644 就足够了。必须写入的目录需要由运行 Web 服务器的用户拥有。可能还有其他关于权限的问题，例如SELinux，但以上内容将帮助您了解基础知识。

其他用户或外部客户端不得访问的文档应为0600，归网络服务器用户所有，并且位于 DocumentRoot 之外。请注意，在安全模式下运行 mod_php 将阻止脚本包含 DocumentRoot 之外的任何内容；一个可悲的缺陷。

Answer 2

我编写了一个函数来解决 PHP / SuPHP 和类似的权限问题：

function realChmod($path, $chmod = null)
{
    if (file_exists($path) === true)
    {
        if (is_null($chmod) === true)
        {
            $chmod = (is_file($path) === true) ? 644 : 755;

            if (in_array(get_current_user(), array('apache', 'httpd', 'nobody', 'system', 'webdaemon', 'www', 'www-data')) === true)
            {
                $chmod += 22;
            }
        }

        return chmod($path, octdec(intval($chmod)));
    }

    return false;
}

也许对你有用。

Answer 3

1) 以 .php 扩展名结尾的文件由 Apache 交给 PHP 编译器。如果未设置正确的配置，PHP 文件将由服务器作为文本文件提供。 httpd.conf 文件中的 Apache 配置行“AddHandler php5-script php”是 PHP5 的设置方法。

2) register.php 需要可在http://www.example.com/php/register.php 访问，因为Java 应用程序正在寻找它，因此在Apache htdocs 文件夹中，需要有一个“php”文件夹，其中包含register.php 文件.

3) PHP 文件需要运行 Apache 服务的用户的读取权限。使用 PHP 作为 Apache 模块没有“服务”，这对于 PHP 来说是独立的。相反，当 Apache 服务收到对 PHP 文件的请求时，它会对 PHP 二进制文件进行 shell 调用以解析文件并将结果交给 Apache 服务，然后将结果提供给客户端。仅当您从命令行（CLI 设置）使用 PHP 时，脚本才需要执行权限，并以 #!/path/to/php-bin 行开头。

4) 请求的文件 (register.php) 需要在 htdocs 中才能由 Apache 提供服务。如果 PHP 在禁用“安全模式”的情况下运行，则 register.php 可能包含 htdocs 文件夹之外的文件。

5) 路径“../inc/db_login.php”与最初获取的 PHP 脚本 (register.php) 相关，因此，由于 register.php 位于 htdocs/php/register.php 中，因此 db_login.php 位于 htdocs/inc/db_login.php .

Answer 4

所有打算通过 URL 直接寻址的 PHP 文件都可以愉快地驻留在与静态内容相同的目录中（这是通常的做法）。

最好在网络服务器可见的目录之外至少有一个目录来保存包含文件，但 PHP 包含路径仍应包含“.”。

我建议不要在你的根文件系统中放置大量非标准目录 - 默认的 webroot 因发行版而异，但我通常会使用以下内容：

/var/www/htdocs - 作为文档根 /usr/local/php - 用于包含文件

显然，如果您打算运行您的网络服务器 chrrot，则应相应地映射它们。

所有文件都必须可由运行网络服务器的 uid 读取，但是，如果您可以尽可能限制此 uid 可写入的内容，那么您就可以关闭潜在的攻击媒介。

我通常将我的目录设置为由 webdev 组成员拥有的 drwxrwSr-x，组所有权为 webdev 团队，（httpd uid 不在 webdev 组中），因此文件是 -rw- rw-r-- 所以webdex组里的任何人都可以修改文件，而httpd的uid只能读取文件。

1) 文件扩展名 (.php) 对服务器意味着什么：

是的 - 去阅读 PHP 安装指南。

C.

Answer 5

设置php文件为640

为了最大安全性，您应该设置最低权限，即 是 640。

• 所有者 6 将是上传文件的人。
• 组 4 将是提供文件的组。让 apache 成为组成员。
• nobody 0 表示没有其他用户可以读取此文件。这很重要，因为 php 脚本有时包含密码和其他敏感数据。

永远不要让每个人都阅读 php 脚本。

有用的命令：

chmod 640 file.php
chown user:group file.php
usermod -a -G group apache

这些命令在做什么：

1. 更改 file.php 的所有权，以便用户可以读写、组读。
2. 将 file.php 的所有权更改为选定的用户名和组名。
3. 将 apache 添加到组中，以便 apache 可以为文件提供服务。否则 640 将不起作用。

Answer 6

假设您的 SFTP/FTP 用户是 johndoe 并且 Web 服务器组是 www-data。 johndoe 仅读取、写入文件但不执行文件（在我的情况下从不执行）。 Web 服务器软件通常来自www-data 组的 Apache/Nginx 可以读取/写入/执行文件。其他用户？他们在这里做什么？？？ 所以，我曾经设置0670 (rw-rwx---) 并且总是为我工作:)