进一步讲，最小权限原则简直是所有安全策略的基石。Web服务器运行的用户账户，它的权限应该被严格限制，能不访问的文件就不访问，能不写入的目录就不要有写入权限。这样即使攻击者成功利用了LFI，也或许只能读取到一些不那么敏感的文件，或者无法执行他们希望的恶意操作，毕竟，没有足够的权限，再好的计划也只能是空想。我们总不能把所有鸡蛋都放在一个篮子里，对吧？权限管理，是不是就像给不同的人发放不同等级的门禁卡？