Os scripts PHP são executados no servidor da web. Deixar as permissões dessa maneira fará com que o usuário do servidor da Web ( www-data
ou apache
) consiga gravar nesses arquivos. No caso do seu script ter algum bug ou vulnerabilidade, essas permissões permitirão que o servidor da Web (e, portanto, os agentes externos) alterem o conteúdo dos arquivos e do sistema de arquivos. Coisas que podem acontecer:
- Perda de tudo (a permissão de gravação também é permissão para excluir os arquivos);
- Adição de material indesejado: alguns ataques visam adicionar dados ao seu site, como scripts maliciosos, páginas falsas ou scripts para fishing e spamming. Como o seu servidor da Web pode gravar arquivos no sistema de arquivos, os dados podem ser carregados em qualquer lugar em que houver permissões.
Então, sim, é uma ideia horrível deixar permissões nesse estado.