每个虚拟主机用户都有FSO权限,就是说,用户被人上传了ASP程序,用FSO想对它做什么都行。例如一些不安全的动网论坛,被上传了可以执行的ASP程序,就可以删除光用户自己的内容.
这个并不关平台的事,也不是主机商的问题。但是,就算这个用户被上传了ASP内容只能对自己的空间操作,是操作不了别人的空间,也控制不了服务器,这点是肯定的。
但主机商不可能代替用户来设计他自己的程序,可以做的就是,在虚拟主机管理中使用平台的锁定上传功能,及使用平台的不执行权限的功能,会提高用户空间的安全性。
我们的建议是:如果有被黑的可能,就在平台里把写入权限关闭,只把数据库和一些图片需要上传的目录单独开放写入权限,那样就没问题了。曾经有个客户因为站的漏洞被人删光了图片和数据库,后来把写入权限关闭就再没遇到过这样的问题了。
