LNMP1.2 是否不用以前的防跨目录方法了？

wjhhxl

我用的是PHP 5.4.41

我发现每个虚拟主机根目录下都有一个 .user.ini  文件，
这是否意味着默认已经开启防跨目录了？
如果要改虚拟主机目录名，就必须要改一下.user.ini文件中的路径吗？


军哥以前教的方法还需要用吗？
以前的方法是在php.ini文件结尾处添加。
[HOST=www.vpser.net]
open_basedir=/home/wwwroot/www.vpser.net/:/tmp/
[PATH=/home/wwwroot/www.vpser.net]
open_basedir=/home/wwwroot/www.vpser.net/:/tmp/

[ 本帖最后由 wjhhxl 于 2015-6-12 19:56 编辑 ]

wjhhxl

还有一个问题想问一下，
比如VPS上有三个虚拟主机。如 A, B, C 三个站，
如果删除了  虚拟主机A 目录下的 user.ini
那么造成的结果究竟是以下三种情况的哪一种？
一：B和C站，都可以访问 A站目录，
二：A站可以访问 B和C站 目录
三：以上两种情况都会发生。

[ 本帖最后由 wjhhxl 于 2015-6-12 20:32 编辑 ]

licess

lnmp 默认都是开启的
改了目录必须要修改.user.ini

以前的方法完全适应

wjhhxl

原帖由 licess 于 2015-6-12 20:59 发表
lnmp 默认都是开启的
改了目录必须要修改.user.ini
以前的方法完全适应

我的意思是，现在有默认防跨目录了，还需要用以前的方法吗？
还有你这个用.user.ini方法 好像有漏洞，如果别人删除这个文件，那样是否就不起作用了。是否就能跨站？
如果一个简单的删除.user.ini操作，就能实现再次跨站，那这个方法就没什么作用了。。

licess

.user.ini只有root用户可以修改或删除

wjhhxl

原帖由 licess 于 2015-6-13 09:11 发表
.user.ini只有root用户可以修改或删除

有一个可能，有的用户会用ROOT账号上传文件，上传的文件是属于root用户组，那么他上传后，会用一个命令给所有文件都设置用户组为www，
这样的操作很多人都会这样做，比如我也常这样做，
我就发现我有的目录下面的 .user.ini  被我设置成了www用户组，权限为755
这样的话，或许就能删除了。。。

所以我觉得可能还是按以前的方法，在php.ini文件中加入代码是最好的，我现在就这样做了，虽然与现有的重复了，不知道有没有影响。

[ 本帖最后由 wjhhxl 于 2015-6-13 12:35 编辑 ]