закачка файлов и безопасность

[Bang]

Эта тема периодически поднимается на форуме, саму меня она тоже в своем время интересовала и до сих пор интересует: для закачки файлов нам надо открыть директорию, то есть сделать ей нежелательный с точки зрения безопасности chmod и т.д.

ну а что, если писать в эту директорию файлы по фтп? какие минусы у этого способа?

[Maniac]

какие минусы у этого способа?

Нууу... Если специально искать минусы. Во-первых, нежелательный исходящий трафик. Во-вторых - увеличивающееся время работы скрипта

[Меняздесьдавнонет]

Для закачки файлов ничего открывать не надо.
Никаких особенных дыр в безопасности закачка не делает.

Не мог бы ты, товарищь Банг, изложить сей тезис не в стиле "слышал звон, да не знаю, где он", а конкретно  изложить - в чем сосотит проблема "нежелательный с точки зрения безопасности chmod и т.д."
Только не надо отмазок, что "это всем известно". Ничего такого неизвестно. Если админ не полный идиот, то аплоад никакого вреда сайту сделать не может.

Кстати, разговор идет о хостерах для нищих. потому, что у нормальных апач исполняется от имени бзера, и никаких чмодов вообще давать не надо

[Bang]

Ну вот например спрашивали совсем недавно.

но я, собственно, не это спрашиваю, я просто спрашиваю, а что если файлы класть не обычным образом, а через фтп - какие тут могут быть подводные камни, потому что сама я их не вижу. вот и все

можно прямо-таки удалить этот топик, чтобы не разводить очередной флейм

[Bang]

да, объясню, почему такой вопрос возник - это не я придумала, что дыра в безопасности и т.д.
это админы (у них собственный сервер) очень любят делать chmod по своему разумению, а потом давай звонить и говорить, что "у нас что-то там не закачивается". чтобы не было этих проблем, я и подумала об фтп.

[Меняздесьдавнонет]

Тему поднимал человек, который в теме абсолютно ничего не понимает.
Давай еще поднимем тему "Почему не стоит писать сайты на PHP, поскольку это дыра в безопасности?"
или "почему нельзя жить, потому, что можно умереть?"

Как минимум, подводным камнем является
а) размещение пароля к собственному фтп в скрипте, что является не гипотетическим, а самым прямым дыром в безопасности.
б) Банальное усложнение программы. Вместо простого copy() или move_uploaded_file(), последняя функция, кстати, и придумана против админов - параноиков, городить целую программу для доступа к своему диску по фтп, а потом бежать на форум с криками - а почему у меня не работает, и вываливать кода на 100 строк, который можно было уместить в 5 и самому в нем легко разобраться..

А админы... а если они запретят и чтение, то ты свой фтп и не запустишь.

[Tronyx]

Полностью согласен с Ромиком. Это уже паранойя. Используй move_uploaded_file() и не мучайся.
[OFF]Не чего страшного со временим она проходит, я вот как вспомню как я бедного Ромика грузил вопросом о том что быстрее explode() или unserialize(), аж самому теперь(давно это было...) смешно:)[/OFF]

Не мог бы ты, товарищь Банг

Не могла бы ты...

[Bang]

Это уже паранойя.

Ок. Спасибо. Раз и навсегда успокаиваюсь на эту тему... Хотя параноики так просто не успокаиваются, конечно. Но раз уж Ромик сказал, то все, умолкаю...

Не могла бы ты...

Тоже спасибо

[Меняздесьдавнонет]

Мне тут короткая формулировка в голову пришла.
Хотят админы, чтобы была закачка? Пусть открывают на запись. Не открывают? Их проблемы.
Я правильно понял, что на их серверах происходит дело?

В общем, я отвечал на вопрос, который вынесен в заголовок.
Конкретную программу закачки, как и любую другую можно написать с дырками. Но закачка просто фактом своего существования никак безопасность не нарушает.

Никаких проблем с безопасностью открытие на запись не создает, если соблюдаются общие правила безопасности.

[Bang]

Я правильно понял, что на их серверах происходит дело?

Да, так и есть.

Ок, я неправильно сформулировала вопрос, прошу прощения. Однако ответ я получила, всем спасибо

[nagash]

все спасибо за внимание...