php - 用于 PHP Web 应用程序的 Chmod

标签 php chmod

我正在编写 Web 应用程序。它有:

  • index.php
  • /app - 当然,使用 .htaccess 但我不是在谈论它
  • /app/session - 对于 session ,必须在我的服务器上使用 session_save_path(/app/session)
  • /app/include - index.php 包含此目录中的文件
  • /app/config - 仅 .xml 文件,该文件从 include
    • 中的脚本读取类
  • /图像、/样式等

    • 我的问题是:
    以上目录的正确 chmod 设置是什么?我知道什么是 chmod(我在 Linux 上工作)并且我知道如何更改它,但是我找不到有关它的有用信息。只有像“我如何将 chmod 更改为 777...

    我不知道谁是所有者、组和其他人。我的页面将在共享 Web 服务器上,所以我认为所有者是 apache,组是 www-data,对吗?

    请告诉我什么 chmod 必须有目录(和文件?我正在使用 -R 用于 chmod to files)以确保安全网站。主要涉及任何脚本入侵的可能性。

    最佳答案

    Wordpress 有一个 nice article解释unix文件权限。阅读它,你就会掌握它的基础知识。简而言之(理论上不正确):

    Unix 系统指定了 3 个不同的“角色”:用户、组和世界。尤其是“世界”似乎使人们感到困惑。

    每个文件和目录(它们都是节点,因此在 Linux 系统中没有什么不同)被分配给一个用户和一个组。您可以将用户和组视为特定文件/目录的“所有者”(我将进一步讨论“节点”,因为这并不重要)。文件权限定义了谁可以对节点做什么。给出的例子:

    文件 index.php 被分配给用户 'aso' 和组 'www-data' 并且具有文件权限模式 644。这意味着用户 (6) 具有读写权限,该组仅具有读取权限 (4),就像“世界”一样(三位数的最后 4 位)。

    现在首先您必须了解 *nix 系统上的每个用户都是一个组的一部分。组名有时与用户名相同,但组是另一个实体。因此,您可能有一个用户以及一个名为“aso”的组。

    文件权限是从“位掩码”构建的,如下所示:读取权限由数字 4 指定,写入由 2 指定,执行由 1 指定。由此可以进行任何组合。在示例中,写入和执行权限指定为 3(​​写入 = 2,执行 = 1),读取和执行权限指定为 5(读取 = 4,执行 = 1)。

    让我们看看这意味着什么,我必须公平地说,我在这件事上不能完全。如果你想要一个完整的故事,请使用谷歌。

    如果我在 *nix 系统上创建一个文件,它会自动分配给我(我的用户)和我的用户所属的组。拥有权限 644 这意味着我(使用我自己的用户登录)可以读取文件并可以更改(写入)它。但是我没有执行 (x) 权限。然而这并不重要,因为这仅适用于可执行脚本(shell 脚本,大多数情况下带有 .sh 扩展名)。文件所属的组 ('www-data') 只有读取权限,因此不能更改文件。 “世界”也只有读取权限。

    请注意,一个用户可以属于多个组,因此 *nix 文件权限的范围有限:您可能希望将写入权限分配给组 1,而仅将读取权限分配给组 2。在传统文件系统中,这不是可能的。然而,像 reiserFS 和 Ext3 这样的文件系统可能会使用扩展的 ACL 来完成类似的工作。不过那又是另外一回事了。

    这一切意味着什么?只要您了解分配的权限的含义以及文件节点和目录节点之间的区别,实际上比预期的要容易得多。

    文件

  • 阅读:能够阅读其内容
  • 写入:能够更改(写入和删除)其内容
  • 执行:能够执行文件(执行脚本,可能产生所有后果)

    • 目录
  • 阅读:阅读内容的能力。这意味着:列出节点名称,但不是节点内容、类型等。
  • 写入:能够添加/删除文件
  • 执行:能够列出它的内容,包括类型、最后修改日期等。

    • 回到你的情况。如果您有一个正常的设置(运行 Apache 和 PHP 作为模块的 Linux 服务器),您的文件将被分配给您的 ftp 用户和组“www-data”(Apache 正在运行的组)。您自己需要读写权限(因为有时您想更改文件),但不需要执行权限(因为 PHP - 或 HTML - 不是可执行文件)。因此,对于用户,您需要一个 6(读取 = 4,写入 = 2,合并为 6)。对于组用户,您只需要读取权限,因为 Apache(或 PHP 模块)只需要读取您的 php 脚本的内容。系统上的任何其他用户都与您的文件无关,因此不需要全部 (0) 权限。

    因此,对于您的所有脚本,640 的权限(用户读写,组读取,“世界”无)就足够了。

    对于您的用户需要所有权限的目录(读取 = 4,写入 = 2,执行 = 1,总共 7 个)。为什么?因为它需要读取它的内容(节点名称),必须能够确定它是文件节点还是目录节点(和其他属性)并且必须能够添加和删除文件(有时你想添加文件,不要你呢?)。所以我们会给你的用户一个 7。

    然而,组('www-data',Apache 正在运行的组)只需要读取和执行权限。列出内容(节点名称)的读取权限和列出其他属性(节点类型、修改时间等)的执行权限。但是它不需要写权限,因为通常你不希望 PHP (Apache) 从你的应用程序树中添加/删除文件。

    最后,“世界”,即系统上的所有其他用户(与最广泛意义上的世界不同)不需要任何权限。为什么服务器上的其他人需要访问您的文件?

    加起来就是 750(用户的所有权限,组的读取和执行权限,其他人没有权限)。

    对您问题的总结答案,最低限度是:
  • 文件权限:640
  • 目录权限:750

    • 但总是好的,相当标准且足够安全:
  • 文件权限:644
  • 目录权限:755

    • 关于php - 用于 PHP Web 应用程序的 Chmod,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/18473104/

    上一篇:php - foreach($_SESSION AS $value){...} -> 获取 session 的数组键

    下一篇:UTF-8文件中的PHP源代码;如何正确解释?

    相关文章:

    javascript - 同页面div变化不刷新

    php - fopen 创建文件,但如何更改权限?

    linux - 为什么 "register"目录中名为 "/proc/sys/fs/binfmt_misc"的文件是 "write-only"?

    php - Apache 在写入文件时不尊重我的默认权限

    php - 使用 Mysql 和 php 正确计算税金

    php - 通过 PHP 进行 MySQL 死锁检测

    php - 在 html 文档中使用嵌套表单

    包含多个数组的数组上的 PHP array_filter

    使用 exec() 更改 C 中的权限

    C程序: Why does remove() delete a file with no write permissions

    ©2024 IT工具网  联系我们