Início / server / Perguntas / 1065981
Accepted
Tom
Asked: 2021-06-08 06:39:46 +0800 CST

Devo alterar a pasta padrão para uploads?

  • 772

O PHP 7 usa a pasta padrão do sistema (/tmp) para armazenar os arquivos carregados. PHP permite que você altere as configurações e altere o diretório de destino do upload. Alguns sites indicam mudar esta pasta para outra, pois a permissão /tmp é 777.

OWASP não tem nada listado nas recomendações de segurança. Devo realmente me preocupar em mudar esta pasta para outra ou não há riscos?

security php-fpm apache-2.4 ubuntu-20.04

1 respostas

  1. Best Answer

    Eu acho que geralmente não é necessário mudar a pasta de upload, porque

    • O modo de acesso padrão dos arquivos temporários é 0600, e eles são de propriedade do usuário que está executando o processo PHP. Isso significa que outros usuários não podem acessar os arquivos por padrão.
    • /tmptem o sticky bit definido, o que significa que mesmo suas permissões de acesso são 777, apenas o proprietário de um arquivo pode excluir qualquer arquivo (e root, é claro).
    • Normalmente os servidores são computadores dedicados, e hoje em dia com containers e virtualização ainda mais. Isso significa que provavelmente não há outros usuários presentes que possam dar uma olhada nos arquivos carregados em trânsito.
    • Os arquivos estão lá apenas temporariamente, se o script que manipula o upload do arquivo sair, os arquivos serão excluídos. Portanto, mesmo que haja usuários/processos não confiáveis, eles precisariam de uma condição de corrida (que pode existir, BTW) para acessar os arquivos e ainda precisam superar as restrições de acesso mencionadas anteriormente.
    • Se alguém não autorizado da internet conseguir acessar o sistema de arquivos do seu computador, os arquivos temporários carregados são o menor dos seus problemas.
    • 1

relate perguntas