有任何 PHP 框架可以在共享主机上安全使用吗？

Question

是否有 PHP 框架允许我生成应用程序，然后在共享主机上安全地使用它，只要可以实现共享主机安全性？我的意思是，例如，不需要任何具有 777 访问权限的 app/tmp 目录。

不是 Symfony -> http://trac.symfony-project.org/wiki/SharedHostingNotSecure

不是 CakePHP -> http://book.cakephp.org/view/911/Permissions

CodeIgniter -> “如果您是一名开发人员，生活在共享主机帐户和有截止日期的客户的现实世界中......” - 看起来很有希望，也许是这个？但我在文档中找不到任何特定于共享托管文件权限的内容

也许是 ZendFramework？ （不知道是不是和PHP框架一样的类别，貌似）

任何现有可能的框架可以在共享主机上安全使用？？

Answer 1

必须声明具有777 权限的目录只是cheapo 和入门级共享主机系统的问题。在该区域通常会看到 safe_mode hack 和 openbasedir 限制，它们只会阻止通过 PHP 进行访问，而不会阻止其他 CGI 解释器访问。

现代服务器设置使用 suexec/suphp，每个 PHP 脚本在当前帐户权限下运行。因此，您不需要任何全局写入目录，并且大多数 PHP 应用程序至少应该可以防止跨帐户篡改。框架本身在这里并没有什么不同。

Answer 2

你从错误的角度看待正确的问题。

拥有权限为 777 的目录本身并不是不安全的。

在共享主机上拥有 777 的目录是不安全的，因为 http 守护程序是为同一系统帐户下的所有客户端运行的。

这是共享主机的固有“功能”，这就是它最便宜的原因。是的，它并不便宜，它是以安全为代价的。

如果安全对您来说很重要，请购买 VPS。现在 VPS 已经足够便宜了。

Answer 3

我建议Zend Framework。据我所知，不需要任何文件权限。只需要一些适当的配置。是的，它是一个 PHP 框架。我的整个库都在 root 所有者之下，每个人都具有读取权限，并且工作正常。从来不需要 chmod 任何东西。对于库，如果类需要，您始终可以定义自己的 tmp 路径。

Answer 4

大多数成功的攻击发生是因为用户/管理员坚持使用默认值；这是众所周知的。请参阅 Windows 攻击。令人难以置信的是，有多少“管理员”不仅保留了默认 URL、默认目录结构，还保留了用户 ID 和密码。在我的网站上，我反复看到 /wp-login.php 的一些登录尝试，ID:PW 为 admin:admin。我什至不知道这些是不是一些默认值，我的网站甚至不是 WP，但似乎是，我认为那些黑客每隔一段时间就会幸运。

我认为安全始终是提高标准，使其变得更加困难。从来没有 100% 的安全保证。我认为您可以选择任何框架或应用程序，但您的工作是通过更改默认设置使其变得更加困难。

我只能代表 ZF，你可以做一些没人猜到的怪异配置；除非您的应用程序偶尔出现错误，并且您会显示包含完整信息的错误消息。