我使用了一个简单的Cache库,它将我想要缓存的数据保存到/ var / www / my_site / cache /
下的文件中此目录对每个人都有读/写权限,因此由用户apache执行的apache进程可以CRUD缓存文件。
但后来由于读/写权限,我认为以这种方式缓存敏感数据并不安全。假设我有一个复杂的ACL系统,我缓存每个用户的权限,只计算一次。攻击者可以编辑相应的缓存文件,以授予自己对网站的完全访问权限。
我能想到的唯一解决方案是加密缓存文件,但这会降低速度(使用缓存仍然比不使用缓存更快,但仍然......)
有什么想法吗?
答案 0 :(得分:0)
您必须仅向Apache提供读/写权限,而不是每个人。