linux – 以777权限注入PHP文件内的代码

代码似乎包含来自其他网站的外部PHP代码,并在此过程中收集有关访问者的信息.

发生这种情况的一种方法是允许从外部访问的目录上传文件.如果没有经过适当的验证,这样做是危险的,因为恶意用户可以使用恶意代码上传PHP文件(使用图片上传).如果未正确配置Web服务器,则代码将在请求时运行.

为了避免此类问题,请确保：

> PHP进程由受限用户运行.
>不需要编辑的文件只能由所有者写入(0644或0744,具体取决于是否需要执行位).
>仅将上载目录设置为可写.
>尝试使用webroot之外的上载目录.然后使用readfile()来提供文件.>验证文件.如果您希望表单仅允许图像,请验证魔术位并确保图像有效.这是一个被忽视的步骤.同样适用于任何其他格式.不要依赖文件扩展名或客户端发送的mimetype.检查实际的文件内容.