我要在我的网站上存储pdf,以便在线获取。该目录应该在根目录之外,还是将其保留在根目录内足够安全?存储此类文件的标准做法是什么。文件上不会有任何敏感日期。我担心这些文件可能被黑客入侵或修改。
如果PDF可供一般下载,并且您只需链接到它们,那么将它们直接放入您的webroot应该没有问题。
你说你担心服务器上的文件被黑客入侵或修改。请记住,如果入侵者访问了您的webroot,那么所有的赌注都将落空。此时,您的webroot中是否有PDF并不重要,因为攻击者只需编辑您的php或asp页面即可造成严重破坏。这将比编辑PDF并尝试"执行"它们更容易。
有很多技术可以保护你的webroot。除非您知道自己在做什么,否则不允许上传文件。不惜一切代价禁用此功能。接下来,对文件夹使用正确的权限。恐怕apache/linux在这方面比windoze要好得多。但例如,设置权限,使webroot中的文件可以读取和执行,但不能写入。你可以做更多的事情,比如Apachechroot,但这会变得复杂。
最后,请记住,到目前为止,web应用程序中最常见的漏洞是SQL注入,因此,如果您使用的是动态页面,请确保您的页面受到保护。事实上,访问webroot文件往往是黑客攻击的结果,而不是最初的黑客攻击,当然,除非你把它设置错了!