Я использую Ubuntu с Apache на сервере. Хочу поэкспериментировать с загрузкой файлов на сервер с помощью POST. В php.ini можно указать папку, которую нужно использовать при загрузке файлов. По умолчанию используется папка /tmp из системы.
Мой вопрос:Является ли использование стандартной папки /tmp уязвимостью безопасности?
Могут ли некоторые данные быть скомпрометированы или изменены, чтобы использовать папку /tmp в качестве временной папки?
решение1
Управление сеансом
Стандартные средства сеанса PHP считаются безопасными, сгенерированный PHPSessionID достаточно случаен, но его хранение не обязательно безопасно:
- Файлы сеансов хранятся в папке temp (/tmp) и доступны для записи всем желающим.если не установлен suPHP, поэтому любая утечка LFI или другая может привести к манипулированию ими.
То же самое относится и к файлам, которые вы храните у /tmp/себя.
Еще статьи для чтения: