De waarheid ligt ergens in het midden. Dat 777 hackers onvoorwaardelijk toegang tot je bestanden geeft, zoals de host impliceert, is absolute onzin, want de context is nog altijd gebruikers op het betreffende systeem.
Het uitgangspunt is dat de webserver schrijfrechten moet hebben op de bestanden en mappen die vermeld worden. Het probleem is dat vaak de gebruiker, die eigenaar van de bestanden is (waar het eerste getal betrekking op heeft), en de gebruiker waaronder de web server draait veelal niet dezelfde zijn, of zelfs maar tot dezelfde groep behoren (waar het tweede getal betrekking op heeft). De eigenaar is de account waarmee de bestanden zijn geupload, dus over het algemeen het FTP-account dat je van de host hebt gekregen. Als een host zijn zaakjes netjes voor elkaar heeft, dan draait de webserver ook onder die account voor de betreffende website, maar vaker is het zo dat de webserver onder een specifieke gebruiker draait, bijvoorbeeld www-data.
Is dat niet het geval, en zitten de eigenaar van het bestand (de FTP-account) en de account onder wiens context de web server draait, ook niet in dezelfde groep, dan blijft alleen 777 over. Aangezien dat nogal vaak voorkomt, zal degene die het betreffende stukje heeft geschreven de keuze hebben gemaakt om het meest algemeen toepasbare aan te geven en het niet nodeloos ingewikkeld te maken. Dit is inderdaad van alle mogelijkheden het meest onveilig, maar zolang je deze rechten alleen toepast om de genoemde mappen en bestanden, dan kan de schade die eventueel zou kunnen worden toegebracht nooit groot zijn. Zoals al gezegd, bovendien slaat het nog altijd alleen op gebruikersaccounts op het betreffende systeem, dus iemand moet al toegang hebben tot het systeem om kwaad te kunnen doen. Als laatste, een hacker krijgt vaak toegang via de webserver, dus hij kan dan alles waar de webserver toegang op heeft. Dan kan het nog zo hard "dicht" staan, als de hacker dezelfde rechten heeft als de webserver, dan ben je alsnog "verloren".
Het is zeker verstandig om de rechten zo restrictief mogelijk in te stellen; als 755 werkt, hartstikke mooi. Maar vaker is het zo dat dan je webserver geen schrijfrechten heeft op de bestanden of mappen, en dat was nou net wat er nodig was, in dit geval.