当前状态.我必须为我的foobaa.txt设置606.
我写了一个php代码,读写foobaa.txt,
我想将foobaa.txt的许可作为600.
但是当我测试600时,PHP代码无法读写foobaa.txt.
所以我改为606 foobaa.txt,然后我的PHP代码可以读写foobaa.txt.
这是问题,因为
当有人放
TTP://blabla.foobaa.com/foobaa.txt
直接,然后他可以看到foobaa.txt的内容.
这是安全漏洞.
所以我想为foobaa.txt的许可制作600,但如果我这样做,那么php代码就无法读写foobaa.txt.
我认为管理员可以修改一些apatch设置,因为我们可以将txt文件的权限设置为600.
还是我还要做其他事情?
比如.htaccess或者什么的.
您的PHP代码作为Web服务器运行,而不是SSH进入帐户并更改权限的用户.因此,如果脚本可以读取文本文件,则服务器可以读取它.您需要通过几种方法之一控制外部用户对文件的访问.
将文件放在您的文件之外DocumentRoot,以便脚本可以访问它,但是不可能通过HTTP请求.
将文件放在一个目录中,.htaccess文件只读取Deny From All.您也可以单独保护文件,但是您可能会有其他相关文件应该保密.您可以将它们放在同一目录中.
京公网安备 11010802040832号 | 京ICP备19059560号-6 