PHPでhtaccess-fileを書きましたが、これはscurityの問題だと読んだことがあります.htaccess-fileの所有者はPHP経由でファイルが作成されているのでwww-dataです。htaccess-ownerはwww-dataですが、これは安全ですか?
私も、これは本当にセキュリティの問題..です
私の質問があり、これはその後、WWW-データも..ですmysqlの-creditentialsが含まれているのconfig.phpを作成しますか?どのようにこれが悪用される可能性がありますか?
PHPで書かれている場合は、意図的に使用している場合は、PHPコードのセキュリティ問題を誰でも利用できる場合は、.htaccessファイルに書き込むことができますより恣意的なコードを実行するために利用されています。
たとえば、脆弱なファイルアップロードPHPコードの一部は、Apacheとして.jpgファイルをPHPとして実行するように設定する.htaccessファイルを作成することに騙されます。実際にPHPコードを含む別のアップロードされたJPGファイルがwebrootフォルダに保存され、ここでPHPコードとして実行されます。 Etvoilà、任意のPHPコード実行。
もう一つの素晴らしいシナリオは、サーバーをリバースプロキシにして他のサーバーに要求を転送し、サードパーティに対する一部のDDoS攻撃に手を貸すリライトルールです。
重要な点は、あなたのWebサーバが設定で多くの電力を消費し、.htaccessファイルでその設定を変更でき、PHPが.htaccessファイルを変更してその電力を移動し、その電力を正しく使用する責任があることですPHPにこれは、PHPコードに悪用可能なバグがないことを100%確信させる必要があることを意味し、誰かがその権限を悪用する可能性があります。
力を分離し、個々の部分をできるだけ小さな力にする方が常に良いです。プログラムで.htaccessファイルを生成することで、Webサーバの動的再構成を必要としない、あなたがやろうとしていることは、おそらくもっと良いアプローチでしょう。
説明ありがとうございます:) – css