Я создал небольшую систему загрузки с использованием PHP, на данный момент она работает нормально, однако у меня есть проблема, как заставить ее работать.
У меня не так много опыта в области безопасности, но я пытаюсь научиться этому в настоящий момент.
Поэтому, чтобы заставить систему загрузки файлов работать, мне нужно было изменить разрешения для папки, в которую я хотел поместить файл.
Итак, у меня есть сервер Windows, я нашел папку> щелкните правой кнопкой мыши> свойства> безопасность> изменить
Вот список из 5 групп
Итак, когда я загружаю файл, он загружается в файлы temps, затем система перемещает файл в нужное место, скажем, / vids.
Первоначально разрешения группы «Пользователи» были установлены на «отказать» в разрешении на запись, что означает, что группа пользователей не может записывать файлы в это место, это означает, что когда система пытается переместить файл, она получает ошибку разрешения.
Поэтому я меняю разрешение на запись для группы «Пользователи» на «Разрешить» запись, и загрузка и перемещение файлов работают нормально. Однако меня беспокоит, что это плохая практика с точки зрения безопасности?
Из того, что я увидел, было то, что если у него есть разрешение на запись, злоумышленник может поместить сценарий в это место, а затем выполнить его, это правильно? Если да, то как мне обойти это и сделать его более безопасным?
Злоумышленник, безусловно, может загрузить какой-либо вредоносный код и запустить его, но есть несколько способов смягчить это. Не разрешайте доступ к файлам напрямую, а только через какой-то промежуточный скрипт. Ограничьте загрузку только несколькими выбранными типами файлов (типы изображений или только текстовые файлы и т. Д.). И если я понимаю ваш вопрос, не о разрешениях беспокоиться.