file upload - permissions

[physh]

file upload - permissions

Здравствуйте!
Ковырялся с $_FILE и move_uploaded_file()... Прочел ФАКью и на пХп.нЕт - вроде все получилось.
Но возник вопрос - почему на папку нельзя установить CHMOD 766 (read & write), а надо еще и execute - 777?
CH-755 - тоже чего-то не попер.

Читал что 777 не безопасен... по-этому я его сунул в папку с .htaccess и .htpasswd... Насколько это безопасно?

 

[Фанат]

ничё не понял.
у тебякакая проблема-то? безопасность? от чего ты защищаешься, сначала скажи.
какое отношение имеет пермишен к .htaccess и .htpasswd ?

 

[physh]

.htaccess и .htpasswd - просто чтобы эту папку не увидели странствующие ручки к пермишену в данном случае не имеет никакого отношения.

Проблема - 777 папка должна быть предназначена для закачки туда катинок, зипов и таров... но а вдруг кто-то туда качнет свой скриптик и ... ppc

 

[Фанат]

И - и что?

 

[physh]

и запустит... на самом деле я плохо знаком с безопасностью, но в инете пару раз натыклся на то где описывалось как именно этим образом запихивали експлойты (upload&execute). Может это была просто вода - я не знаю.
Мне бы очень хотелось услышать ваше мнение по этому поводу.

 

[vitus]

мода execute у директории - нужна чтобы ты мог открывать в ней файл, read - для того чтобы делать ls,
write, - чтобы создавать там файлы.

если не поставить на /papku/ execute для какого-то пользователя, то он не сможет открыть файл /papka/file

аплоад тут нипричом

 

[physh]

да? а на практике выходит:

failed to open stream: Permission denied in ...

(chmod766)

 

[vitus]

учим матчасть, товарищ

а файл надо открывать и для записи и для чтения, так уж он устроен, поэтому пользователю, который апач, нужно давать права и x и w