我应该将权限设置为777设置和configuration文件?

我正在第一次编写一个大的PHP应用程序(带有安装程序),并且想知道我应该为权限采取哪些安全预防措施。

setup.php使用fopen / fwrite来根据来自setup.php的POST数据生成一个config.php。 这工作,但似乎我不能写入config.php,除非我把它的权限设置为777

Config.php基本上包含PHPvariables中的数据库凭证(包含()'ed),这是一个很好的离开777吗?

我想知道如果这是好的,或者我应该指示用户更改权限,如655(我不知道)。

您应该将文件权限设置为手头所需的文件权限。 这可能是777安装和644运行应用程序。

每次运行应用程序时,都应该检查您所需的权限(关键文件和path),然后发出错误消息,并在应用程序不运行时停止运行。

很多PHP应用程序都要求你在设置产品的时候将config.php设置为777。 我认为这是完全可以接受的,但应该警告用户在安装完成后应该将文件重新设置为644。

另一个解决scheme是让用户使用数据库设置对config.php进行硬编码。 然而,这对于一些新用户而言是复杂的。