Лучшее файловое разрешение для пользователей загружать и удалять файлы и папки

Question

1. Допустим, я позволяю людям загружать файлы на сервер. Должен ли я изменить имя файла с после загрузки? если да, как я могу сообщить об именах файлов позже, потому что в CMS мне нужно tpo предоставить им URL-адрес к изображениям или документам и т. д., чтобы они ссылались на них при создании текста для веб-сайта.

2. Я написал программу, с помощью которой мои пользователи могут перемещаться по некоторым файлам и папкам. они могут создавать папки и загружать файлы любого расширения внутри указанных папок , К сожалению, мой код создает все файлы и папки с разрешением 777. Я хочу знать Что произойдет, если кто-то загрузит файл .php в папку и запустит его. Может ли он / она Удалить все возможные вещи? Можете ли вы помочь мне с правильным разрешением я должен дать эти файлы и папки. Загрузчик должен знать о URL, куда он / она загрузил изображение, поэтому при создании некоторого контента он может ссылаться на них как URL для изображений или офисные документы Пожалуйста, помогите мне с дырой в безопасности.

Спасибо.

Answer 1

1. Я предлагаю вам создать таблицу базы данных в качестве ссылки на этот файл, чтобы вы могли записать старое имя и изменить имя в файловой системе на другое, чтобы вы никогда не перезаписывали существующий файл с тем же именем. может даже тот же файл в БД вместо файловой системы.
2. Во-первых, вы не должны позволять пользователю загружать любые исполняемые файлы на ваш сервер, или, по крайней мере, вам нужно изменить имя расширения на другое, я думаю. И я не думаю, что 777 нужен, вам просто нужно убедиться, что папка r / w для процессора php / web-сервера, и этого должно быть достаточно для любого пользователя, который обращается к ним