【问题标题】:can FTP user steal sourcecode of website?FTP用户可以窃取网站源代码吗?
【发布时间】:2013-07-04 08:25:48
【问题描述】:

您好,我创建了一个 FTP 帐户并将其设置为仅访问特定文件夹“xyz”。我想问你是否可以通过将 php 脚本文件上传到 ftp 文件夹“xyz”即访问保存在父文件夹中的 php 脚本文件。 “文件管理器脚本”。

例如,如果域根是:

http://xyz.com/mainsite/xyz

我将他设置为仅访问 xyz 文件夹。但是如果他在“xyz”文件夹中上传任何 php 脚本,那么他可以下载保存在“mainsite”文件夹中的 php 文件吗?

【问题讨论】:

  • 为什么不把你的 FTP 文件夹放在你的网站树之外呢?
  • 笼统地说。任何文件夹中的任何 PHP 脚本都可以访问用户 php 正在运行的任何文件。因此,如果您的 www-data/apache/nobody 用户可以访问文件,那么在您的 Web 服务器中运行的 php 脚本也可以访问它

标签: php ftp


【解决方案1】:

这完全取决于服务器配置,但您可以通过在 FTP 文件夹中创建一个 PHP 文件来自行测试:

echo file_get_contents('../foo.txt');

【讨论】:

  • 不允许用户将文件上传到您的 wwwroot 或其子目录将是一个开始。
  • 一个 ftp 用户可以上传任何文件,我怎样才能阻止他上传 php 文件?请..!!
  • 这与文件类型无关,而与它们的位置和权限有关。您的问题中的信息太少,无法给出一个好的答案(为什么需要用户通过 FTP 上传文件,为什么该目录是 wwwroot 的兄弟目录,等等)。如何设置服务器权限在其他站点上可能也是一个更好的问题,例如 SuperUser 或 ServerFault。
  • 我开发了一个价值 1200 美元的 Web 应用程序,我希望允许用户只上传特定文件夹中的图像文件。 FTP更快,所以我给了他ftp。
  • 让人们访问数据库管理界面也比构建一个 HTML 表单让他们发布 cmets 更快,但这并不意味着它是最好的方法。无论如何,就像暗示了几次:不要让他们上传到你的 wwwroot 的子目录
猜你喜欢
  • 1970-01-01
  • 1970-01-01
  • 2017-12-24
  • 2010-10-15
  • 1970-01-01
  • 2021-07-18
  • 1970-01-01
  • 2013-09-27
相关资源
最近更新 更多