我有一个带有图片脚本的分类网站,用于将图片上传到广告中。
图片上传到“images”目录。
执行此操作的 php 代码需要对我猜的目录的写访问权限...
那么,您将为php upload file 和images 目录设置什么权限?
我是这样想的:
drwxr-xr-x
安全/好与否?
谢谢
另外,另一个简短的问题:我应该将我的网站文件 owned 保存在 username 上,还是应该将它们保存在 owned root 上?
【问题讨论】:
drw-r--r-- (644)。小心用户能够将 php/其他脚本和可执行文件推送到您的服务器。
小心用户能够将 js 和 html 文件推送到您的网站。
归您的网络服务器用户名所有。不要让 root 拥有它没有业务拥有的文件。 Root 是管理员,而不是您的网络服务器。
查看您的 php.ini 文件中的upload_tmp_dir =
【讨论】:
使用 .htaccess
<Files ^(*.jpeg|*.jpg|*.png|*.gif)>
order deny,allow
deny from all
</Files>
只允许上传这些文件。 并在上传代码之前检查 php 函数。
将文件夹移到 www-root 之外是好的。 您也可以让 apache 成为所有者。
【讨论】: