我有一个专用服务器,使用“sudo apt-get install php5 php5-curl”命令安装Debian,Apache和PHP。
您可以强制所有创建的文件在文件夹和子目录中始终是用户www-data吗?
如果我登录sftp并将其发送到FTP上的文件,它始终是root用户,因为我以root身份登录,也可以更改,例如,我想将文件发送到服务器以root身份登录,但它是他的所有者www-data?
答案 0 :(得分:1)
让所有www-data文件归Web服务器所有 - 假设默认使用写权限 - 是危险的,因为脚本中的错误或Web服务器本身可能会导致源代码注入。
/var/www下的文件不应归Web服务器所有,除非某个Web应用程序确实需要对文件夹的写入权限。
即便如此,特别是在共享托管环境中,有更好的解决方案,而不是使这些目录的Web服务器所有者,因为这将允许每个其他PHP脚本 - 由Web服务器启动 - 写入该目录。