Habe ich das behauptet? Und wo steht, daß das überhaupt eine Frage für Sven ist? Er hatte lediglich gefragt, was man dagegen tun kann, daß einzelne Leute per PHP (!) fremde Dateien auslesen. Und genau dagegen ist mit safe_mode & Co. ein Kraut gewachsen.

Stimmt. Wobei man aber deswegen dies andere erwaehnen muss, um die Leute nicht in falscher Sicherheit zu wiegen.
Er schrieb naemlich selbst in der letzten Zeile implizit, dass er CHMOD ausfuehren kann.
Folglich gibt es wohl ein Shell-Zugang.

Sicher. Nur wenn jemand von "meinen Usern" schreibt, gehe ich mal davon aus, daß er der Systemadministrator ist und somit selbstverständlich einen Shell-Zugang hat. Das heißt aber noch lange nicht, daß alle seine User auch einen Shell-Zugang haben. Er sprach ja nur davon, daß man PHP-Seiten raufladen kann.

Warum hab ich das Gefuehl, dass jegliche Sicherheitsprobleme oder
negative Facetten von PHP unterm Tisch gekehrt werden?

Ich will nichts unter den Tisch kehren, aber man sollte die zwei Sachen klar auseinanderhalten. Ich bin von Problemen der Modulversion ausgegangen, da das, was er anspricht, eigentlich vom Prinzip her in der CGI-Version nicht auftreten kann.
Wenn's also um die Modulversion geht, solltest man nicht einwerfen, daß Sicherheitseinstellungen der Modulversion nicht bei Dingen greifen, die in der Modulversion in dieser Form überhaupt keine Rolle spielen (direkte Dateisystem-Zugriffe).

Siehe oben, diese Aussage ist hier momentan vollkommen unnötig.

Aussagen zur Sicherheit eines verwendeten Systems oder eine Applikation sind NIEMALS unnoetig.

Ok, da hast Du recht. Aber doch bitte klar zuordnen.

Gruß,
  soenk.e