действительно ли это безопасно к chmod 775/664 с владельцем www-data:www-data?

Нет, если ваш веб-сервер не настроен для обработки запросов POST и тому подобного. Однако в случае возникновения какой-либо ошибки на веб-сервере или его клиентских сценариях, которая позволяет производить запись в файловую систему (а с учетом количества сценариев PHP, вероятность этого равна 1), весь ваш контент становится доступным для записи. Итак: это рискованно, и вам следует рассмотреть другие альтернативы.

Это действительно звучит рискованно, если предположить, что www-data является пользователем, доступным веб-серверу - вы по существу теряете защиту от записи, предоставляемую ACL. Второй вариант (775) также увеличивает риск того, что злоумышленник сможет удаленно запустить код на вашем компьютере.

Вы не должны разрешать обычным пользователям доступ к этому каталогу. Если пользователю не нужно писать или выполнять из этого каталога, ему не должно быть разрешено это делать. Как минимум, я бы ограничил разрешения до 755. Только root (или пользователь с root-доступом) и www-data должны иметь возможность писать в этот каталог.

Не рекомендуется иметь права на запись для всей папки, большинству веб-сайтов (например, wordpress, joomla и magento) требуется разрешение на запись в определенные папки (загрузка изображений, загрузка файлов) Лучший способ - дать разрешение на запись в папки и не разрешать выполнение скрипта (PHP, python), всегда проверяйте, загружает ли пользователь правильный контент, например, если ваш веб-сайт позволяет пользователю загружать изображение в качестве аватара, проверьте если это изображение, а не поддельное изображение с PHP-скриптом внутри. И проблема с правами на запись в корень веб-сайта заключается в том, что если кто-то обнаружит уязвимость, он может использовать ее для записи нового файла index.php и "взлома" вашего веб-сайта.