Предоставление папке загрузки этих разрешений безопасно или нет?

Question

У меня есть сайт объявлений с графическим скриптом для загрузки фотографий в объявления.

Фотографии загружены в каталог "images".

Код php, который делает это, требует права записи в каталог, который я предполагаю ...

Итак, какие разрешения вы бы установили для php upload file и каталога images?

Я думаю вот так:

 drwxr-xr-x 

Безопасно / хорошо или нет?

Спасибо

ТАКЖЕ, еще один короткий вопрос: Должны ли я иметь файлы моих сайтов owned от username, которые у меня есть, или я должен хранить их owned от root?

Answer 1

сделать .htaccess с

<Files ^(*.jpeg|*.jpg|*.png|*.gif)>
order deny,allow
deny from all
</Files>

, чтобы разрешить загрузку только этих файлов. И проверьте с помощью функции php перед загрузкой в ​​ваш код.

Хорошо бы переместить папку за пределы корневого каталога www. Вы также можете сделать Apache владельцем.

источник

Answer 2

drw-r - r-- (644). Будьте внимательны, когда пользователи могут отправлять php / другие скриптовые и исполняемые файлы на ваш сервер.

Будьте внимательны, пользователи могут загружать файлы js и html на ваш сайт.

Владеет тем именем пользователя, которое у вас есть для вашего веб-сервера. Не делайте собственных файлов root, которыми он не владеет. Root - это администратор, а не ваш веб-сервер.

Загляните в свой файл php.ini для upload_tmp_dir =