我在信息安全部门问了一个问题,并收到了有趣的回应其中部分内容如下:
将它们移出服务器根目录
因此,在将上传的文件“移出服务器根目录”的过程中,我目前不确定如何区分哪些目录属于有权访问root……所有内容的用户,哪些目录不属于?
那么,我们如何在这种情况下定义服务器根目录,以及如何确定目录不是“服务器根目录”?
针对以下方面提出有益建议可获得加分在哪里一旦文件上传完毕,我就应该移动它们(已被接受)。
答案1
您指的是 Web 服务器根目录。Web 服务器将从此位置管理应用程序和内容。为什么要将它们从此根位置移走?
它们应该保存在单独的区域 - 您不会希望数百个文件上传弄乱您干净整洁的 Web 根目录。这会增加维护负担。文件上传会累积起来占用大量磁盘空间。您可能对这些文件有特定的备份机制。
您可以更轻松地管理上传目录和上传到其中的文件的权限。不希望任何恶意用户访问可能危及您的 Web 服务的区域。
您甚至可以拥有一个完全位于 Web 服务器根目录层次结构之外的位置。例如,挂载的文件系统或单独的文件服务器。或者也许一个${SERVER_ROOT_DIR}/uploads目录就足够了。