对于组件安装时候的目录权限,本文不详细描述,如果安全很重要,那么你也可以按照以下的安全将components等目录做相应的设置,但是那样还不如需要安装时候打开写权限,安装后关闭写权限省心。
我主要关心上传文件保存目录的安全性。
1、首先上传文件的扩展名检查是要做的,非预期扩展名或者没有扩展名的文件都要关闭上传。
2、上传文件的只对 nobody(apache 1.0),或者daemon(apache 2.X)具有644的权限
3、禁用目录或者虚机的 php 解析
<directory "d:/web/test“>
php_flag engine off
</directory>
以上做法应该基本可以保证安全了,当然其他的通常的apache设置还是要做的。
