我问过这个问题,虽然我提出了几个奖励,但我从来没有得到太多的答案(参见here)。更一般地说,我想知道是否有suPHP的安全概念?什么是自由于这些脚本获得与用户的权限执行要suPHP有没有安全性?
www.example.com/rm-f-r.php
或
www.example.com/return_some_iamge.php
阻止任何人,它的基本保证acesss。
编辑为了详细说明上述情况,我的问题是一个概念上的一个。假设我们在/home/user/test.php
有一个文件。让这个文件做任何事情(rm -f -r /
,获取并返回一张图片,重启计算机......)如果我将浏览器指向该文件(假设包含的文件夹是Apache下的启用网站),我该如何告诉浏览器只允许该文件的所有者执行它?
编辑2:我从来没有明确说明这是我认为suPHP仅用于与Apache,但我说的是验证Linux用户只用一个浏览器(即Web浏览器)。如果我们没有进行身份验证,那么任何人在技术上都可以访问服务器上的任何脚本(对于网站来说这不是问题,因为他们始终将权限设置为0644
,所以基本上整个世界都可以看到。另一方面,有权限一般设置为0700
)
你的问题还不清楚。服务器程序删除文件或返回图像的内在错误是什么?什么样的访问被“保证”?我无法分辨你想要问什么,建议或防止什么。 – Cheekysoft 2012-03-02 12:21:51
@Cheekysoft我会提出的问题 – puk 2012-03-02 12:44:35
我相当有信心我的问题没有解决方案http://stackoverflow.com/a/9561335/654789 – puk 2012-03-06 04:39:57