у меня примонтирована папка как sshfs от root. Значит ли это, что я заливаю под рутом?
Не значит. Монтирование ФС это совсем не то же самое, что пользователь, который выполняет некоторые действия с файлами. Это совсем разные темы.
Не столько риск, сколько бардак и необходимость разгребания оного. Строго говоря, пользователь root - это администратор сервера. А не отдельно взятого веб-сайта, коих на сервере может быть множество.
К примеру, залили файлы с владельцем root и правами 644 - оно работает до тех пор, пока другому пользователю (рядовому или системному) не придется что-то делать с этими файлами. А сделать он не может. Отлично, есть работа - решаем проблему. ;)
Думаю сделать владельцем всех файлов ww-data, от которого работает скрипт (я прверил) и дать права на файлы 644.
Приемлемо более или мнее, если на сервере лишь один сайт и других гарантировано не будет. Или это какой-то серверочек для тестов, вроде домашней машинки, где нет большого смысла огород городить.
А если будут другие сайты - тогда разогнать их по рядовым пользователям. Ну и скрипты тоже по рядовым... Понадобится ииндивидуальный фтп или шелл доступ для какого то сайта - нет проблем. Запретить скриптам ходить по ФС в директории соседнх сайтов - тоже не слишком сложно. А под www-data нехай вебсервер (не скрипты!) работает.
Ну вот как-то так примерно. Зависит от конкретной ситуации.
