Tom Asked: 2021-06-08 06:39:46 +0800 CST2021-06-08 06:39:46 +0800 CST 2021-06-08 06:39:46 +0800 CST 我应该更改上传的默认文件夹吗? 772 PHP 7 使用默认的系统文件夹 (/tmp) 来存储上传的文件。PHP 允许您更改设置并更改上传目标目录。一些站点指示将此文件夹更改为另一个文件夹,因为 /tmp 权限是 777。 OWASP 在安全建议中没有列出任何内容。我真的应该担心将此文件夹更改为另一个文件夹还是没有风险? security php-fpm apache-2.4 ubuntu-20.04 1 个回答 Voted Best Answer Lacek 2021-06-08T07:13:39+08:002021-06-08T07:13:39+08:00 我认为通常不需要更改上传文件夹,因为 临时文件的默认访问模式是 0600,它们归运行 PHP 进程的用户所有。这意味着默认情况下其他用户无法访问这些文件。 /tmp设置了sticky位,这意味着即使它的访问权限是777,只有文件的所有者才能删除任何文件(当然还有root)。 通常服务器是专用计算机,如今容器和虚拟化更是如此。这意味着可能没有其他用户可以在传输中查看上传的文件。 文件只是暂时存在,如果处理文件上传的脚本退出,文件将被删除。因此,即使周围有不受信任的用户/进程,他们也需要一个竞争条件(可能存在,顺便说一句)来访问文件,并且他们仍然需要克服前面提到的访问限制。 如果有人未经授权从 Internet 设法访问您计算机的文件系统,则临时上传的文件是您最不关心的问题。
我认为通常不需要更改上传文件夹,因为
/tmp设置了sticky位,这意味着即使它的访问权限是777,只有文件的所有者才能删除任何文件(当然还有root)。