PHP：具有写权限的缓存文件夹的tcpdf安全注意事项

Question

我已经在我的网络服务器上安装了 tcpdf 并使用它来生成 pdf 发票。它有一个缓存文件夹，我的网络服务器用户组 www-data 可以创建和删除文件。

黑客是否可以

a) 在该文件夹中创建文件并

b) 将它们作为 php 执行？

我应该将缓存文件夹移到 www 目录之外吗？我尝试 cd 进入该文件夹，但我自己的用户名出现权限错误，所以我想知道该步骤是否必要。

Answer 1

如果您没有对用户组进行任何更改，则 www-data 组仅用于记录目的，浏览器无法访问。数据用户将能够创建但不应该删除任何内容。但至于担心黑客访问您的网站，只要您没有更改该用户的任何权限即可。