我在伺服器上運行 Ubuntu 和 apache。我想嘗試使用 POST 將文件上傳到伺服器。在 php.ini 中,您可以設定上傳檔案時使用的資料夾。預設使用系統中的 /tmp 資料夾。
我的問題:使用標準 /tmp 資料夾是否有安全漏洞?
某些資料是否會被洩漏或更改為使用 /tmp 資料夾作為臨時資料夾?
答案1
從連結:
會話管理
PHP的預設會話設施被認為是安全的,產生的PHPSessionID足夠隨機,但儲存不一定安全:
- 會話檔案儲存在臨時 (/tmp) 資料夾中且全域可寫除非安裝了suPHP,因此任何 LFI 或其他洩漏最終都可能會操縱它們。
這同樣適用於您/tmp/自己儲存的文件。
更多閱讀: