我见过很多上传表单被黑客攻击,有些表单对上传的文件进行了非常好的安全检查(至少我认为是这样),但还是有人成功上传了 PHP 文件。
我在想:是否有一种方法可以通过 HTTP PUT 在 uploads 文件夹中上传一个具有 777 权限的文件?
chmod 774 /upload/folder
:对所有者和组可写,其他人只能读取。上传文件夹不需要也不应该有777权限。只需对Web服务器运行的用户(通常是www-data)进行读写权限即可。此外,您应该关闭(例如通过.htaccess)在此文件夹中不希望发生的任何事情,比如执行PHP脚本(因此,即使用户上传了PHP文件,也无法执行)。 HTTP PUT不会解决777问题,因为文件在上传后仍将存在。