我已经看到了很多的黑客上传表单，以及一些原本被上传文件的一些很好的安全检查（至少我是这么认为的），但仍然有人设法上传的PHP文件。

我想知道：是有上传在具有777级权限的上传文件夹中的文件的方法吗？ 我想到的是使用HTTP PUT的。

一般来说777大约是不安全的 ，因为它得到...这意味着任何人都可以读取和写入文件。

HTTP PUT并非天生比任何HTTP POST更安全，如果你允许上传的文件到您的服务器上exceuted。

总的来说，如果你允许执行任意文件，你需要做非常好的文件检查服务器端，并在服务器上使用的chroot将是明智的。

权限明智的，我一般设置任何网络访问644通过服务器用户所拥有。

文件夹的权限只是为了确保你的httpd / Apache用户可以写入到该文件夹​​。 其实你并不需要属性777为您的存储文件夹。 只要确保任何设置所有者根组正在运行，或只是简单的设置文件夹所有者到Apache的用户在Apache / httpd的用户。

chmod 774 /upload/folder ：可写的所有者和组和其他人只是阅读。

PHP：如果不知何故该文件夹是指用户文档根目录文件夹，您可以禁用的PHP引擎针对特定虚拟主机。

如果该文件夹是系统/应用文档根目录文件夹编辑.htaccess文件，并使用removeHandler的Apache可能获得成功的一部分。

你不需要和不应该对上传文件夹权限777。 它应该是足有它仅适用于网络服务器中运行的用户（与Apache / Debian的通常www数据）读取和写入。 此外，您应该关闭（例如，通过的.htaccess）任何你不想在此文件夹中发生的一样，执行PHP脚本（所以即使发生这样的用户上传它不能被执行的PHP）。 HTTP PUT不会改变你的777的问题，导致文件依然存在已上传之后。