我有一个分类广告网站,其中包含用于将图片上传到广告上的图片脚本。
将照片上传到“images”目录。
执行此操作的php代码需要对我猜的目录进行写访问...
那么,您将为php upload file和images目录设置哪些权限?
我这样想:
drwxr-xr-x
安全/好还是不好?
由于
另外,另一个简短问:我应该拥有owned我的网站文件username,还是应该owned root保留{{1}}?
答案 0 :(得分:1)
drw-r - r--(644)。用户可以将php /其他脚本和可执行文件推送到服务器。
小心用户能够将js和html文件推送到您的网站。
拥有您的网络服务器用户名。不要创建自己拥有的root文件。 Root是管理员,而不是您的网络服务器。
查看php.ini文件中的upload_tmp_dir =
答案 1 :(得分:1)
使用
创建.htaccess<Files ^(*.jpeg|*.jpg|*.png|*.gif)>
order deny,allow
deny from all
</Files>
仅允许上传此文件。 并在上传代码之前检查php函数。
将文件夹移到www-root之外是很好的。 你也可以让apache成为所有者。