Есть ли у кого доступ из вне к папке с правами 0777?

Question

[Zefirot]

Мне нужно в определённой папке создавать подпапки и файлы с помощью php

mkdir("storage/test", 0777, true)

я дал права этой папке 0777, вопрос - не может ли кто-то из вне туда что-то залить, создать, что-то там делать? (или как правильно делать подобное)

Answer 1

[AlexVWill]

В Linux доступ к папкам имеют пользователи (или иными словами процессы, запущенные от имени пользователя), и если у вас апач + PHP, и вы в скрипте указали, что PHP может писать в эту папку, то любой пользователь, зашедший к вам, и инициирующий запуск этого скрипта может инициировать и запись в папку. Поэтому и надо строго ограничить какого типы файлов можно хранить на сервере, и возможно ли их внешнее чтение.

Comments

[Adamos]

В вопросе - "мне нужно создавать с помощью php".
Права на папку для пыха он в любом случае даст, и если это будет 0700 - ничего не изменится.

[Zefirot]

а можно ли как-то указать что в данной папке могут создаваться/читаться только txt файлы, ну и собственно сами папки создаваться/удаляться?

[Adamos]

Zefirot, нет, но можно в настройках веб-сервера указать, как обрабатывать файлы из этой папки (и не обрабатывать их, как php-скрипты, например).
Впрочем, для этого лучше вообще держать загруженные файлы вне папки веб-сервера и работать с ними только через свои скрипты.

[Zefirot]

Adamos, то есть ниже например директории /www/html/ ?
Или что вы имеете ввиду под

держать загруженные файлы вне папки веб-сервера

если это то что я думаю то как тогда к ним обращаться если они ниже серверной директории?

[Adamos]

Zefirot, повторяю: через свои скрипты. Как вы сохраняете файл, так же его читаете и содержимое отдаете по запросу. Скриптом, а не веб-сервером.

[Zefirot]

Adamos, я скриптом только и обрабатываю в этой папке файлы, просто главный был вопрос в том что - не навредит ли то что у папки 0777 права, как я понял ничего страшного...
Правда тут вот еще такой момент - txt в этой папке можно прочитать просто пройдя по пути где он находится, как этот путь вообще обрубить из вне, то есть чтобы только мой скрипт имел доступ этой папке и всё что в ней?

[Дмитрий]

Zefirot, вынести за пределы документрут

[Zefirot]

Дмитрий, как? то есть получается папка должна находится ниже /www/html/ , в тоже время скрипт должен иметь туда доступ чтобы там делать дела с документами, как это сделать из php ?

[Adamos]

Zefirot, вы задаете вопросы, на которые я вам пару комментариев назад ответил.
Вот прямо сейчас у меня открыт сервер, на котором сайт лежит в public_html, а рядом лежит папка logs, куда сбрасывают информацию как раз PHP-скрипты. Естественно, никакой возможности открыть эти логи на сайте не предусмотрено.

А лучше, раз вы задаетесь такими правильными вопросами - почитать правильные ответы на phptherightway, например. Потому что использование современных стандартов РНР лишает большую часть вопросов смысла. Например, роутинг, сведенный к единой точке входа, позволяет перестать беспокоиться о путях и правах файлов и просто использовать стандартную для фреймворка папку storage, например.

[Дмитрий]

Zefirot, а если файлы лежат вообще на другом сервере, не думали за такое?

[Zefirot]

Дмитрий, так у меня и так с игрового клиента идёт запрос к серверу, а тут еще запрос на другой сервер?
на этом сервере лежат (либо будут создаваться txt доки) их содержимое нужно передавать клиенту, именно доки, не данные mysql...

[Дмитрий]

Zefirot, это пример. Не важно где лежат ваши файлы, они могут быть где угодно, хоть в облаках. Есть скрипт. file.php?file=1.txt скрипт получает имя файла или его ид, дальше уже скрипт его достаёт, вещает заголовки и отдаёт в арбузер

[Adamos]

Дмитрий, все-таки не "или", а именно ID.
Глупо не устранить лишний вектор атаки, делая все с нуля.

[SagePtr]

Zefirot,

не навредит ли то что у папки 0777 права

А зачем давать папке права 0777, если вы планируете писать и читать из неё только при помощи PHP? Лучше в таком случае, наоборот, выдать максимально урезанные права, ваш PHP же всегда работает под одним и тем же пользователем?

[Zefirot]

SagePtr, да ставил меньше 755 но при этом ошибка "не хватает прав", хотя код из рута работает...

[SagePtr]

Zefirot, у рута полный доступ к файловой системе независимо от прав доступа. Может быть, владелец у папки у вас не тот, под которым PHP работает?

[Zefirot]

SagePtr, да нет root стоит, а тестирую я так - закидываю файл в корень хоста, и вызываю его через адресную строку, и вот если 755 то пишет что нет прав, а если у папки 777 то в ней уже может создавать и перезаписывать...

[SagePtr]

Zefirot, так веб-сервер работает не под тем пользователем, под которым работает PHP. Если вам нужно, чтобы другие пользователи могли читать этот файл - тогда доступ для чтения всех (или группы, если веб-сервер добавлен в эту же группу, что и пользователь, под которым PHP работает) тоже нужен.

Answer 2

[Adamos]

Вопрос не имеет смысла. Права определяют доступ локальных пользователей и программ, запущенных от имени этих пользователей. Никакого отношения к "доступу извне" они не имеют.

Answer 3

[hint000]

не может ли кто-то из вне туда что-то залить, создать, что-то там делать?

Не может. Но если найдёт уязвимость, например, в тех же php-скриптах, тогда может.

или как правильно делать подобное

правильно не давать права 0777 туда, где может быть что-то важное.