все, спасибо, со всем справился.
на папку в которой я делал всякие exec("gzip.."), exec("cp..") сменил owner\'a
chown Myusername.nobody /home/../folder - то есть дал группе nobody как владельцу php и запускателю Апача побольше прав на эту папку.
Права на нее сделал drwxrwxrwx (ну а по-другому ведь никак)
отсюда вытекает следующий вопрос:
если все смогут в нее писать (так как последняя группа rwx), то это же наводит на соответствующие мысли...
если бы туда писались неисполняемые файлы - это еще полбеды, но они не могут быть неисполняемыми, так как в них эти пресловутые команды OC.
то есть, юзер сможет залить туда php или cgi скрипт с какой-нибудь гадостью и выполнить его...
конечно, чтобы пользователь попал на страницу с формой для закачки файла, ему нужно будет авторизоваться, но во-первых, бывают случаи, когда авторизацию обходят
, а во -вторых, теоритечески обладатели логинов и паролей для авторизации тоже могут оказаться любителями "повзламывать что-нибудь" В этой связи я даю при закачке файлу принудительно имя price.xls, но вот недавно прочитал в хакере, что и это легко обходят: не помню о чем там шла речь, но в общем, проверку на расширение обошли кажется с помощью перлового символа "конец строки"
может, стоит тему отдельную создать по этому вопросу ?