Para que uma aplicação desenvolvida com Yii funcione, é necessário deixar a pasta runtime em applications com permissão de escrita.
O fato da pasta runtime ficar com permissão de escrita não deixaria o servidor vulnerável a ataques?? Um cracker conseguiria enviar arquivos para a pasta runtime?
Se um cracker tiver acesso ao arquivo application.log da pasta runtime, pode ser um prato cheio para ele hackear o site?
Edivaldo,
Pelo browser é dificil ele acessar a pasta runtime.
Se ele conseguir acessar diretamente pelo servidor, ele não irá na pasta runtime, e sim na config/
A pasta runtime quem tem acesso a ela de leitura e escrita e somente o framework, ha não ser que você tenha alguma aplicação que esteja enviando algum tipo de arquivo para a pasta runtime.
Exatamente Edivaldo, conforme o Newerton falou, não dá para alguém acessar a pasta "runtime" através do navegador.
Vale lembrar que na pasta "protected", temos um arquivo .htacess com um deny from all lá dentro, ou seja, o que estiver dentro de "protected", só o framework terá acesso.
Edivaldo, você pode tomar alguns cuidados:
Rodar o PHP e o servidor Web com um usuário específico e com o mínimo de privilégios.
Permitir somente as permissões (leitura, escrita e execução) necessárias e para determinados grupos e usuários nos arquivos e diretórios do projeto.
Eu gosto de tirar o diretório runtime (e outros) de dentro do webroot. Veja o link abaixo.
Há também um tópico sobre segurança no guia e vários artigos no wiki, onde eu recomendo Moving project code outside of webroot e How to write secure Yii applications.