我有一个运行mod_php而不是fastcgi的5.8 VPS,这是我习惯在共享托管上运行的,我已经遇到了这样一个问题,即用于写入文件的各种PHP需要这些文件世界可写。写入的文件类似于网站的数据库和rss xml。这不安全,是吗?我该怎么做才能确保安全?
答案 0 :(得分:0)
谁可以访问这台机器?换句话说,在这种情况下谁是“世界”?如果只有你,那么你没有什么可担心的,是吗?
但是,如果此系统与其他人共享,您是否信任所有管理员?如果不这样做,那么你可以做很少的事情来保护你的文件。
如果您担心的是系统上的其他非管理员用户,那么您不希望使您的数据库成为全局可写的。如果您无法写入这些文件,那么写入它们的过程(mysql,apache等)将作为错误的用户运行。最好是,您希望您的文件由同一用户拥有,因为这些进程正在运行 - 但前提是您可以信任该用户!如果你做不到,那么你就是幸运的。
答案 1 :(得分:0)
这个“数据库”文件是纯文本还是标签?如果它们是纯文本,任何人都可以通过指向它们来阅读它们。这至少是信息曝光。
我不知道应用程序的代码和设计,但在相同的情况下可能会导致其他问题。