Правильные разрешения загрузки файлов PHP
Я разработал менеджер загрузки/загрузки script.
Когда я загружаю файл через метод POST, он сохраняется в папке с именем файлы, папка с файлами находится в другой папке, называемой диспетчером загрузки.
Теперь, когда я загружаюсь с помощью метода POST 0666, CHMOD работает, когда я хочу переименовать, удалить файл, но папка диспетчера загрузки и папка с файлами должны быть 0777 CHMOD для этого. Теперь может кто-нибудь сказать мне, опасно ли это?
1) Я получил отказ в .htaccess, поэтому никто не может получить доступ к каталогу файлов через браузер
2) загрузка script защищена именем пользователя и паролем, который, очевидно, изменит лицо, использующее script, поэтому только администраторы могут в основном загружать, переименовывать, редактировать, удалять файлы и записи в базе данных MySQL.
Когда файл загружается, запись добавляется в базу данных с информацией типа файла, имени файла, размера файла и т.д., а затем уникальный уникальный идентификатор (автоматически увеличиваемый MySQL) добавляется в файл process.php, который получает файл из каталога и типа mime и т.д., которые не обнаружены, process.php в основном выполняет проверки, чтобы увидеть, существуют ли записи и файлы, и если это так загружает этот файл.
В принципе URL-адрес загрузки похож: wwww.mydomain.com/process.php?file=57, выполняется проверка, чтобы убедиться, что идентификатор существует в базе данных и что файл существует с именем файла, хранящимся в базы данных с этим идентификатором.
Теперь все это прекрасно работает при загрузке файла через форму с использованием метода POST, но я также добавил загрузку вручную, поэтому для людей, которые хотят загрузить файл, размер которого больше размера, их веб-хост позволяет просто загружать файл через например, FTP-программу, а затем просто вручную добавьте имя файла и данные файла через форму в области администрирования, чтобы связать запись с файлом. Проблема заключается в том, что проблема возникает из-за того, что если файл загружается с помощью FTP или каким-либо образом он загружает файл с помощью php script, он не может переименовать, удалите файл, если потребуется, в будущем, поскольку PHP скрипт не имеет правильного привилегии. Итак, из того, что я собираю, единственный вариант заключается в том, чтобы сообщить тем, кто использует script, чтобы изменить файл chmod на 0777, чтобы он работал, я думаю, что это сработает?
Но тогда у меня проблема 0777, также исполняемая. script позволяет загрузить любой тип файла как менеджер загрузки/загрузки script, но в то же время я немного запутался со всеми этими разрешениями и тем, что я должен делать. Поскольку php ограничен максимальным размером загрузки, установленным хостом, я хочу добавить загрузку вручную, чтобы пользователи могли загружать файл другим способом и назначать файл записи базы данных, но затем, как указано, я получаю проблему, когда вы хотите переименовать, удалить файл через PHP скрипт.
Я разработал script, чтобы обнаружить такие проблемы и уведомить пользователя и т.д., но я хотел бы попытаться сделать этот script всю работу с ногами или почти все, не указав в руководстве, что admin должен будет chmod файл до 0777, когда они хотят, чтобы script переименовал, удалил файл, хотя я не знаю, может ли только chmodding файл до 0777 фактически разрешить переименование PHP скрипт, удалить его и т.д., но и безопасность - это проблема.
ОБНОВЛЕНО
Хорошо, спасибо, поэтому запустите файл перед тем, как его загрузить при загрузке?
Я просто использую chown() вокруг файла и ничего больше, и это сделает его владельцем процесса сервера и сделает его закрытым? как я вижу, вы получили
chown apache:apache '/path/to/files' ;
Нужно ли добавить бит apache: apache?
Я подумал об этом как о более простом решении, если администратор загрузит ручную загрузку, им нужно будет вручную переименовать/удалить файл вручную, если это необходимо в будущем, поскольку script не будет иметь правильных разрешений таким образом, это сделает это простым решением, так как manualupload script может просто переименовать запись db, чтобы связать ее с файлом. Таким образом, не стоит беспокоиться о проблемах с разрешением файла.
Просто поместите файл пользовательских изменений вручную через ftp, например, из файла myfile.zip в somefile.zip, затем они отредактируют запись db для этого файла и измените имя файла на somefile.zip из старого имени файла myfile.zip, таким образом все все еще связаны, но не стоит беспокоиться о проблемах с разрешением. Поскольку я также читал, что chown() не всегда работает или не может полагаться по какой-либо причине.
2 ответа
1), я получил отказ в .htaccess, поэтому никто не может получить доступ к каталогу файлов через браузер
Храните файлы в отдельной папке вдали от структуры каталогов, в которой хранятся ваши файлы PHP.
Что касается разрешений в каталоге, существует три способа настройки разрешений в папке:
-
Сделайте его доступным для всего мира (
chmod 0777 '/path/to/files/')Это не рекомендуется, так как оно имеет серьезные последствия для безопасности, особенно на не выделенном сервере; любой, у кого есть учетная запись, или может передать процесс на сервере для записи/удаления в эту папку, сможет изменить его содержимое.
-
Сделайте его временным (
chmod 1777 '/path/to/files/')Это также относится к проблеме безопасности, но менее важно, чем вариант 1 по следующей причине: пользователи не могут изменять каталог - только файлы, которыми они владеют.
-
Сделать это принадлежащим серверному процессу и сделать его приватным (
chown apache:apache '/path/to/files' ; chmod 0700 '/path/to/files')Это, возможно, лучшее решение.
Просто расслабьтесь и наслаждайтесь.
На многих общих хостингах это единственное возможное решение.
Существует еще один вариант - попросить пользователя передать ftp и использовать ftp для копирования файлов из tmp, как это делает wordpress. Но я думаю, что это еще менее безопасно.
-
0Привет, на самом деле не отвечает на мой вопрос, который я обновил в исходном сообщении, как было сказано ранее, назад к amphetamachine. Привет, Спасибо за такой быстрый ответ, я был ограничен в символах, поэтому я обновил исходное сообщение, если вы не против прочитать его и ответить это было бы прекрасно. Я выделил ОБНОВЛЕНО жирным шрифтом, чтобы вы могли видеть, о чем я сейчас спрашиваю. Спасибо PHPLOVER, будет ждать ответ от этого спасибо.
Ещё вопросы
- 1Java, проверочный URL-адрес ResponseCode
- 1проблема преобразования скрипта bash в python
- 1Подписать Xml цифровым сертификатом в формате PKCS # 7 в DER (Рек. МСЭ-Т X.690)
- 0-webkit-transform проблемы с производительностью в Chrome
- 0переменная не получает увеличивается?
- 1Как я могу найти CDP-код native_request_wait в Android SDK?
- 1Как я могу подключить свой класс ListAdapter для работы во фрагменте с настроенным классом «Модель» для строк?
- 0AngularJS выпадающий - автоматический выбор не работает
- 1Ошибка с динамическими данными в массиве
- 1Как мне ждать, пока мои данные не будут получены из Firebase? [Дубликат]
- 1tf.maximum не возвращает ожидаемый результат (новичок)
- 1Как установить каретку на конец текста в TextBox (WP8)?
- 0стиль не меняется (нужна помощь в медиа-запросе!)
- 1Java: удаление компонента Runnable Canvas
- 0Угловой отфильтрованный результат не обновляется в пользовательском интерфейсе
- 1установка классов ViewModel (из DLL), чтобы они не отображались с EF?
- 0JQuery триггер («клик») динамически загружаемого контента
- 1Сбой 'npm install bcrypt' в 64-битной Ubuntu 17.04
- 0как заставить сравнение даты работать?
- 1Переменная класса обновления Python
- 0Изменить базу данных при выборе входа
- 1Android-байт-код JAVA отсутствует после обновления инструментов Gradle и Build
- 0Как я могу скачать данные по любой ссылке?
- 1Разрешение службы ServiceStack и определение типа контента
- 1Android - сопоставить родительский элемент при просмотре видео
- 1Карты Google - TileOverlay - Растягивайте плитки для более высоких уровней масштабирования
- 0Скрыть один элемент и показать другой при наведении
- 1Покажите ошибку, если широта или долгота имеют неправильное форматирование
- 0сделать выбор радиоблока и флажка обязательным в угловом JS
- 0Сокращающиеся интервалы окна
- 1Вставка Сортировка LinkedList Java
- 0Как перенаправить index.php в root с помощью .htaccess
- 1Офлайновые фрагменты в объемных данных
- 1Android Studio - setBackground ()
- 0Как выровнять мои изображения по вертикали с помощью текстов
- 0Как настроить вывод с помощью регулярного выражения в текстовой области
- 0Sql запрос Join / Где 3 таблицы
- 0Выпадающее меню CSS3 при наведении на размер
- 0Руководство Angular.js по запуску теста e2e с использованием транспортира
- 0C ++ SWIG генерирует код в зависимости от Tcl
- 0SQL - возвращение строки с наибольшим количеством
- 0добавить smtp в функцию php mail
- 1Сортировка вставок со строками
- 1Синтаксическая ошибка при реализации API Google Map Javascript с помощью Smarty
- 0Как мы можем подчеркнуть n-ю букву в угловом ng-повторении?
- 1Динамическое центрирование поисковой панели на основе размеров изображения
- 1Подсчитать количество каждого символа в строке
- 0Активировать анимацию при прокрутке
- 1Временно скрыть элемент из Combobox
- 6Невозможно разместить запрошенные классы в одном файле dex, даже для более ранних коммитов, которые скомпилировались ранее
chownработает, только если вы вошли в систему под учетной записью суперпользователя (т.е. root), под которой PHP никогда не должен работать;chownизнутри PHP либо потерпит неудачу, либо не даст эффекта.