Почему настолько важно удалить 777 полномочий?
Сценарии PHP работают на веб-сервере. При отъезде полномочий тот путь сделает пользователя веб-сервера (www-data или apache) способный записать на тех файлах. В случае Вашего сценария имеет некоторую ошибку или уязвимость, те полномочия позволят веб-серверу (и таким образом, внешние агенты) изменять содержание файлов и файловой системы. Вещи, которые могут произойти:
- Потеря всего (разрешение записи является также разрешением удалить файлы);
- Добавление нежелательного материала: некоторые нападения имеют целью добавлять данные к Вашему сайту, как злонамеренные сценарии, поддельные страницы или сценарии для фишинга и спама. Так как Ваш веб-сервер может записать файлы в файловую систему, данные могут быть загружены где угодно, это имеет полномочия.
Так, да, это - ужасная идея оставить полномочия на том состоянии.
777 особенно плохо. Это означает, что любой может удалить файлы, а также создать их. Я создаю файл, Вы удаляете тот файл.
Если необходимо использовать 777, то используйте 1777 - это говорит ОС только позволять владельцу файла удалять его.
Иначе это точно, как coredump сказал - ошибка в сценарии, который позволяет мне выписывать новые файлы или перезаписывать существующие файлы, позволяет мне делать что-либо, что я хочу к Вашему веб-серверу, потому что я перезаписываю / создают файлы как апача / никто / www-данные затем, веб-сервер будет служить моему злонамеренному содержанию вместо исходного содержания.
Идеально процесс веб-сервера не может записать в каталоги, из которых он читает избежать таких проблем.
Другие пользователи на этом сервере / рабочей станции могут изменять файл. Например, используя настольную Ubuntu, сделайте / home 777, и он может быть удален или изменен любым пользователем.
777 представляет особую угрозу безопасности, когда вы находитесь на общем хостинге.