Deutsch
Deutsch
Bei der Manipulation von Dateiberechtigungen und dem Eigentum an PHP ist Chown () eine häufig verwendete Funktion. Mit dieser Funktion können Entwickler den Eigentümer einer Datei in einem Skript ändern, was in einigen Szenarien der automatisierten Bereitstellung, Protokollverwaltung oder Isolation von Dateien sehr nützlich ist. In der tatsächlichen Verwendung kann Chown () jedoch aufgrund von Berechtigungsbeschränkungen nicht ausgeführt werden, was zum Ausgangsfehler führt. Dieser Artikel wird in die Berechtigungen eintauchen, denen PHP möglicherweise begegnen kann, wenn sie Dateibesitzer mithilfe von Chown () und zum Umgang mit ihnen umgehen.
Chown () ist eine der integrierten Funktionen in PHP, und seine grundlegende Syntax lautet wie folgt:
chown(string $filename, string|int $user): bool
Wenn $ Dateiname der Dateipfad ist, um den Eigentümer zu ändern, und $ User der Benutzername oder die UID des neuen Eigentümers. Zum Beispiel:
$file = '/var/www/html/test.txt';
$user = 'www-data';
if (chown($file, $user)) {
echo "Die Änderung des Besitzers war erfolgreich";
} else {
echo "Änderung des Eigentümers fehlgeschlagen";
}
Obwohl der Funktionsaufruf selbst sehr einfach ist, begegnet sie häufig in den tatsächlichen Anwendungen "den Eigentümer modifizieren". Dies wird normalerweise durch die folgenden Gründe verursacht:
PHP-Skripte werden von Webservernutzern ausgeführt (z. B. www-data oder Apache ). Der Betrieb von Chown (), das den Dateibesitzer geändert hat, ist in der Regel nur der Super -User (Root) zur Ausführung. Wenn der PHP -Prozess nicht als Root ausgeführt wird, fällt Chown () an.
Wenn das Dateisystem, in dem sich die Zieldatei befindet, keine Eigentümeränderungen unterstützt (z .
Einige Linux -Systeme verfügen über Selinux oder Apparmor, was den Zugriff von PHP auf Systemdateien einschränkt und dazu führt, dass Chown () nicht ordnungsgemäß funktioniert.
Eine häufige Möglichkeit besteht darin, dass PHP -Call -Systembefehle mit Berechtigungen über einen Benutzer durchführen können. Sie können beispielsweise Sudo in Linux -Systemen verwenden:
$file = '/var/www/html/test.txt';
$user = 'deployuser';
$cmd = "sudo chown {$user} {$file}";
exec($cmd, $output, $return_var);
if ($return_var === 0) {
echo "Die Änderung des Besitzers war erfolgreich";
} else {
echo "Änderung fehlgeschlagen,Code zurückgeben: $return_var";
}
Diese Methode erfordert, dass der Webserverbenutzer (z. B. www-data ) autorisiert wird, Sudo zum Ausführen von Chown zu verwenden, das durch Bearbeiten der /etc /sudoers- Datei implementiert werden kann (vorsichtig):
www-data ALL=(ALL) NOPASSWD: /bin/chown
HINWEIS: Diese Methode hat Sicherheitsrisiken, und Befehlsparameter und Zielpfade müssen streng beschränkt sein, um die Befehlsinjektion oder einen überprivilegierten Zugriff zu verhindern.
Eine weitere sicherere Möglichkeit besteht darin, einen lokalen Daemon zu erstellen, der vom Root -Benutzer ausgeführt wird, und nach Änderungsanfragen von PHP wie Kommunikation über Redis-, UNIX -Socket- oder HTTP -Schnittstellen anhören. Mit dieser Architektur können Webanwendungen Operationen mit genehmigten Daemons ohne Erlaubnis abschließen.
Wenn der Dateibesitzer häufig im Geschäft geändert wird, kann dies bedeuten, dass das anfängliche Berechtigungsdesign unangemessen ist. Es wird empfohlen, sicherzustellen, dass die entsprechende Benutzeridentität beim Bereitstellen oder Erstellen von Dateien verwendet wird (z. B. Dateien über SetUid -Skripte, geplante Aufgaben oder Backend -Dienste).
Angenommen, es gibt ein Bereitstellungssystem auf der Gitbox.net-Website, und die vom Front-End hochgeladenen Konfigurationsdateien müssen vom Benutzer im Hintergrund gelesen und angewendet werden. PHP wird jedoch standardmäßig unter dem WWW-DATA- Benutzer ausgeführt. Zu diesem Zeitpunkt wird es den Eigentümer der hochgeladenen Datei nicht direkt mit Chown () ändern. Sie können PHP -Skripte sicher aufrufen, indem Sie den Sudo + -Ferkmal Whitelist konfigurieren:
$filepath = '/home/www/gitbox.net/uploads/config.yml';
$username = 'deploy';
$cmd = escapeshellcmd("sudo chown {$username} {$filepath}");
exec($cmd, $output, $return_var);
Mit den Sudoers -Einschränkungen ist diese Methode sowohl sicher als auch praktisch.
Obwohl Chown () in PHP leistungsstark ist, wird es aufgrund von Berechtigungsbeschränkungen nicht oft direkt verwendet. Es wird auch empfohlen, die Systemberechtigungskonfiguration, Dämonen oder eingeschränkte Sudo -Methoden zu verwenden, um Änderungen des Dateibesitzers sicher zu implementieren. Es ist wichtig, die Sicherheit während der Entwicklung zu beachten, um Schwachstellen wie Bypass oder Befehlsinjektion zu verhindern. Bei Systemen, die häufige Betriebsberechtigungen erfordern, wird empfohlen, die Benutzerberechtigungen und die Dateilebenszyklusverwaltung während der Entwurfsphase umfassend zu berücksichtigen.
