當(dāng) PHP 以 Apache 模塊方式安裝時(shí)，它將繼承 Apache 用戶(hù)（通常為“nobody”）的權(quán)限。這對(duì)安全和認(rèn)證有一些影響。比如，如果用 PHP 來(lái)訪問(wèn)數(shù)據(jù)庫(kù)，除非數(shù)據(jù)庫(kù)有自己的訪問(wèn)控制，否則就要使“nobody”用戶(hù)可以訪問(wèn)數(shù)據(jù)庫(kù)。這意味著惡意的腳本在不用提供用戶(hù)名和密碼時(shí)就可能訪問(wèn)和修改數(shù)據(jù)庫(kù)。一個(gè) web Spider 也完全有可能偶然發(fā)現(xiàn)數(shù)據(jù)庫(kù)的管理頁(yè)面，并且刪除所有的數(shù)據(jù)庫(kù)。可以通過(guò) Apache 認(rèn)證來(lái)避免此問(wèn)題，或者用 LDAP、.htaccess 等技術(shù)來(lái)設(shè)計(jì)自己的訪問(wèn)模型，并把這些代碼作為 PHP 腳本的一部分。

通常，一但安全性達(dá)到可以使 PHP 用戶(hù)（這里也就是 Apache 用戶(hù)）承擔(dān)的風(fēng)險(xiǎn)極小的程度時(shí)候，可能 PHP 已經(jīng)到了阻止向用戶(hù)目錄寫(xiě)入任何文件或禁止訪問(wèn)和修改數(shù)據(jù)庫(kù)的地步了。這就是說(shuō)，無(wú)論是正常的文件還是非正常的文件，無(wú)論是正常的數(shù)據(jù)庫(kù)事務(wù)來(lái)是惡意的請(qǐng)求，都會(huì)被拒之門(mén)外。

一個(gè)常犯的對(duì)安全性不利的錯(cuò)誤就是讓 Apache 擁有 root 權(quán)限，或者通過(guò)其它途徑斌予 Apache 更強(qiáng)大的功能。

把 Apache 用戶(hù)的權(quán)限提升為 root 是極度危險(xiǎn)的做法，而且可能會(huì)危及到整個(gè)系統(tǒng)的安全。所以除非是安全專(zhuān)家，否則決不要考慮使用 su，chroot 或者以 root 權(quán)限運(yùn)行。

除此之外還有一些比較簡(jiǎn)單的解決方案。比如說(shuō)可以使用?open_basedir?來(lái)限制哪些目錄可以被 PHP 使用。也可以設(shè)置 Apache 的專(zhuān)屬區(qū)域，從而把所有的 web 活動(dòng)都限制到非用戶(hù)和非系統(tǒng)文件之中。