php 如何进行环境隔离

open_basedir

上 docker

@ovear 如果有多个 vhost ， open_basedir 应该也没用吧(跨站)

@kungfuchicken docker 不持久化啊，而且不方便

@just1 docker 可以挂载 host 的目录啊....挂载后 docker 里面访问不到 host 的其他目录

@kungfuchicken 好麻烦 TAT ，虽然确实是一个方法

@just1 对每个 vhost 指定不同 open_basedir 就好

难道不是应该考虑为什么有 777 的目录么

@ovear OK ，多谢

@jybox 因为方便又想要安全(∩_∩)

@just1 安全？？？.jpg

除了 /tmp 之类的地方以外想不到什么地方是应该用 777 的。

1docker
2chroot
3 所有地方都不应该 777 ，以及 777 的都是可以公开的
4chroot 设置起来更麻烦，最后还是 docker 方便

我想知道为什么“ 777 目录在有的地方难免有”
我们都恨不得上 SELinux+ACL ，居然还有人给 777 目录

open_basedir 是很有用的，但是你得动手试一试，不能大嘴一撇随口一说。因为这里面是有坑的 : ) 要记得把 /tmp 也写进去， linux 系统用冒号分隔多个目录，对于早期 PHP 版本，目录后面加不加斜杠也是有讲究的

关于文件权限：
我自己的配置一般是 项目里面的文件夹 770 ， 文件 640 （这个配置不适用于 CLI 模式）
owner 是 root 或者你自己的账户， group 是 www-data

如果 WP 暂时需要更新升级，这个时候肯定是需要 777 的，需要的时候改一下，不需要的时候把权限给改回来就行。

chown -R $user /dir

open_basedir 只防 fopen ，能读写文件的方法多了去了

@tabris17 举个近代版本(>=5.6)的例子？/或者发个链接？我想了解一下

1. 环境隔离可以用 docker
2. 777 是最糟糕的权限方式，你倒不如研究下如何避免使用它

@tabris17 求突破 open_basedir 的方法，谢谢

@shiji
@gdtv

利用 mysql 的 select ...... into outfile ......

@tabris17
我觉得首先呢，这个方法跟 PHP 没关系啊，需要拿到 MySQL 的权限。
其次，这个 SQL 需要当前 SQL 用户有 FILE 权限，通常来说创建的新用户默认都不会带有任何数据库核心权限（ FILE,PROCESS,SHUTDOWN 之类的）。除非用户脑残，所有程序都用数据库的 root 账户跑。。

参看： http://dev.mysql.com/doc/refman/5.7/en/select-into.html
The SELECT ... INTO OUTFILE 'file_name' form of SELECT writes the selected rows to a file. The file is created on the server host, so you must have the FILE privilege to use this syntax.

@shiji

还想到一个，利用.htaccess 覆盖 php.ini 配置，不过没侧过，不知道是否有效

如今居然还有 777 需求

@shiji

另外 利用执行外部命令也一样可以绕过

比如：
shell_exec("echo sometext>/other/path/bypass.txt");

@tabris17 .htaccess 如果 Apache 对项目目录设置了 AllowOveride All 或者 Options 的话，应该可行.
shell_exec 。。这个。。属于作弊！相当于已经有了木马了

@shiji 所以还是要从源头解决问题，楼主为什么要那么多 777 。😱

难道只有我一个人用 700 600 么...

FreeBSD Jail

从来没有 777 的路过...

尴尬、、、、
赶快下沉主题 TAT 我比较懒而已嘛

我只能说给 777 的, 你 nginx/apache, php 绝对没配对, 而你也不知道为什么