我已经使用PHP构build了一个小型的上传系统,但现在工作得很好,但是我遇到的问题就是我的工作方式。
我没有太多的安全背景,但是我现在正在努力学习。
所以为了让file upload系统正常工作,我需要改变一个文件夹的权限,我想把文件放进去。
所以我有一个Windows服务器,我find了文件夹>右键单击>属性>安全>编辑
这里有一个5组的列表
所以,当我上传一个文件,它上传到临时文件,然后系统将文件移动到正确的位置可以说/ vids。
原来“用户”组权限被设置为“拒绝”写权限,这意味着用户组无法将文件写入此位置,这意味着当系统尝试移动该文件时,会收到权限错误。
所以我改变“用户”组写权限“允许”写,它的file upload和移动工作就好了。 但是我担心从安全的angular度来看这是不好的做法?
从我看到的是,如果它有写权限的攻击者可以把脚本放在那个位置,然后执行它,这是正确的? 如果是这样,我怎么解决这个问题,并使其更安全?
攻击者当然可以上传某种forms的恶意代码并运行它,但有几种方法可以缓解这一点。 不要直接访问文件,而只能通过一些中间脚本。 限制上传只有选定的几个文件types(图像types,或只有文本文件等)。 如果我理解你的问题,权限是不是要担心的事情。