Witam,
Tak więc chodzi mi o prawa dostępu 777 na serwerze. Oczywiście wiem, że prawa 777 to dostęp dla wszystkich wraz z czytaniem i zapisem informacji ale jakie niebezpieczeństwo niesie to przy prowadzeniu strony?
Dla przykładu mam katalog TEST z prawem dostępu 777. Mam tam plik dane.php. Czy przy takich prawach może ktoś wgrać nowe pliki lub pobrać dane.php ? Niby ma prawo do zapisu ale w jaki sposób z niego skorzysta?
Pełna wersja: [PHP] Prawa dostępu 777
Przy założeniu, że z serwera, którego używasz nie używa nikt inny poza Tobą (fizycznie) i ludzie korzystają z niego zdalnie do wyświetlania stron - to nie masz się czym przejmować.
Jeżeli natomiast masz konto na serwerze i ktoś inny też to normalnie tworzone przez Ciebie pliki są nie do ruszenia przez inne osoby (poza adminem) natomiast jak dasz 777 to każdy kto ma jakiekolwiek konto systemowe może coś z tymi plikami robić.
Nie wiem czy wystarczająco jasno Ci to przekazałem ;P
Jeżeli natomiast masz konto na serwerze i ktoś inny też to normalnie tworzone przez Ciebie pliki są nie do ruszenia przez inne osoby (poza adminem) natomiast jak dasz 777 to każdy kto ma jakiekolwiek konto systemowe może coś z tymi plikami robić.
Nie wiem czy wystarczająco jasno Ci to przekazałem ;P
Tak, wystarczająco jasno 
Więc nie mam się czym przejmować. Dzięki.
Więc nie mam się czym przejmować. Dzięki.
No, niezupełnie.
Weźmy dla przykładu sytuację, w której uczący się adept PHP robi coś w stylu galeria zdjęć. Dodaje zdjęcia, usuwa, komentuje - a wszystko via HTTP GET ("GET /skasuj.php?plik=zdjecie.jpg"). Skoro user jest uczący się - to może dojść do sytuacji, w której ZŁY CZŁOWIEK Z SIECI znajdzie serwerek i zrobi "GET/skasuj.php?plik=index.php" i tak dalej...
Może to doprowadzić do skasowania wszystkiego w danym katalogu (a nawet więcej). Oczywiście wiem, że to dość skrajny przykład. Mimo tego, nigdy nie rekomenduję praw "777" - to zaprzecza idei Uniksa. Jedynym miejscem na prawa 777 jest katalog sam katalog /tmp (choć już nie jego zawartość). Zresztą, /tmp zwyczajowo ma prawa 1777 ("1" to restricted deletion flag, znane powszechniej jako sticky bit - można kasować pliki, o ile jest się ich właścicielem).
Weźmy dla przykładu sytuację, w której uczący się adept PHP robi coś w stylu galeria zdjęć. Dodaje zdjęcia, usuwa, komentuje - a wszystko via HTTP GET ("GET /skasuj.php?plik=zdjecie.jpg"). Skoro user jest uczący się - to może dojść do sytuacji, w której ZŁY CZŁOWIEK Z SIECI znajdzie serwerek i zrobi "GET/skasuj.php?plik=index.php" i tak dalej...
Może to doprowadzić do skasowania wszystkiego w danym katalogu (a nawet więcej). Oczywiście wiem, że to dość skrajny przykład. Mimo tego, nigdy nie rekomenduję praw "777" - to zaprzecza idei Uniksa. Jedynym miejscem na prawa 777 jest katalog sam katalog /tmp (choć już nie jego zawartość). Zresztą, /tmp zwyczajowo ma prawa 1777 ("1" to restricted deletion flag, znane powszechniej jako sticky bit - można kasować pliki, o ile jest się ich właścicielem).
@up tak masz rację ale wydaje mi się, że pytanie dotyczyło bardziej czegoś w stylu skasowania/edycji plików na serwerze poprzez www - jeżeli pliki mają 777 (czy inny) to nie da się do nich dostać poprzez www (no może poza odczytem - zależy od ustawień i lokalizacji). Twój przypadek ma rację bytu ale nie tylko dla plików z katalogów o uprawnieniach 777.
Jeżeli user zrobiłby skrypt w stylu "akcja.php?akcja=kasuj&plik=nazwa_pliku" to wywołanie "akcja.php?akcja=kasuj&plik=index.php" mogłoby skasować plik index.php nie zależnie od jego uprawnień (zależy od tego na jakich uprawnieniach stało by PHP itd.).
Jeżeli user zrobiłby skrypt w stylu "akcja.php?akcja=kasuj&plik=nazwa_pliku" to wywołanie "akcja.php?akcja=kasuj&plik=index.php" mogłoby skasować plik index.php nie zależnie od jego uprawnień (zależy od tego na jakich uprawnieniach stało by PHP itd.).
Cytat(Sephirus @ 8.11.2011, 11:01:19 ) 
Jeżeli natomiast masz konto na serwerze i ktoś inny też to normalnie tworzone przez Ciebie pliki są nie do ruszenia przez inne osoby (poza adminem) natomiast jak dasz 777 to każdy kto ma jakiekolwiek konto systemowe może coś z tymi plikami robić.
Rozumiem że mówimy o przypadku kiedy ktoś ma dostęp do tego samego konta? A nie że np mając konto na home mam dostęp do wszystkich plików z prawami 777 na tym serwerze - prawda?
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.