我不小心进入了:
sudo php composer.phar require guzzlehttp/guzzle
我读到我不应该以root /超级用户身份运行Composer,特别是对于install / update / exec。
我的问题是需要另外一个给第三方执行能力的命令吗?之后我立即删除了实例,但是如果由于某种原因第三方可以安装脚本,我恐怕我必须更改所有密码
我在bitnami linux机器上。
答案 0 :(得分:0)
如Composer website中所述:
某些Composer命令(包括exec,install和update)允许在您的系统上执行第三方代码。这是来自其插件"和"脚本"特征。插件和脚本可以完全访问运行Composer的用户帐户。因此,强烈建议避免以超级用户/ root身份运行Composer。
如您所见,此建议是因为当您授予root权限(通过在命令前加上sudo),即将要安装的插件或脚本时,具有对root帐户的完全访问权限!这意味着如果插件/脚本是恶意软件,那么Rest in Peace! ;-)
特别是关于你的情况,guzzle库是一个众所周知的php库&并非旨在成为恶意软件,所以不要担心,您的系统没有发生任何不良事件。 : - )