我总是给这些dirs的web服务器用户完整的权限:
cache/ logs/ web/uploads/ 但现在我想知道如果上传部分是0K。 我在想,如果我为每次上传使用一个.tmp文件,然后把它们放到一个队列中被移动到上传/中去,并且对于删除操作也是一样的,那么这个队列会被读取和validation不同的用户)。 这样,即使攻击者注入恶意代码,上传/文件夹也是安全的。
你的临时文件的想法听起来对我来说是个好主意。
无论临时file upload到mod_whatever目录,都需要你的代码运行的用户可写(通常是web服务器,尤其是使用mod_whatever )。
而且,这个目录需要在DocumentRoot 之外 。 无论谁上传,在经过审查之前,不应该在互联网上。 这可以防止您的服务器在电子邮件中使用,告诉我我的login已被禁用,我需要访问http://example.com/uploads/yourbank.php来修复它。