서버에서 Apache와 함께 Ubuntu를 실행하고 있습니다. POST를 사용하여 서버에 파일을 업로드하는 실험을 하고 싶습니다. php.ini에서는 파일을 업로드할 때 사용할 폴더를 설정할 수 있습니다. 기본값은 시스템의 /tmp 폴더를 사용하는 것입니다.
내 질문:표준 /tmp 폴더를 사용하는 것이 보안 취약점입니까?
/tmp 폴더를 임시 폴더로 사용하면 일부 데이터가 손상되거나 변경될 수 있나요?
답변1
링크에서:
세션 관리
PHP의 기본 세션 기능은 안전한 것으로 간주되며 생성된 PHPSessionID는 충분히 무작위이지만 저장소가 반드시 안전한 것은 아닙니다.
- 세션 파일은 임시(/tmp) 폴더에 저장되며 누구나 쓸 수 있습니다.suPHP가 설치되어 있지 않으면, 따라서 LFI 또는 기타 누출로 인해 결국 조작될 수 있습니다.
자신 이 저장한 파일에도 동일하게 적용됩니다 /tmp/.
더 읽어보기: