1. Wenn nun ein anderer user per PHP (also Eigentümer "nobody") eine Datei angelegt hat kann ich dann - egal welche Rechte die Datei hat - per PHP (wiederum "nobody") darauf zugreifen?

[Safe Mode] Diese bewirkt nämlich, daß ein Skript auf nicht auf Objekte zugreifen kann, deren Eigentümer (optional: deren Gruppe) nicht mit dem Eigentümer (Gruppe) der Skriptdatei übereinstimmt.

Und wenn ich die php-Datei von einer anderen PHP-Datei erstellen lasse?
-> Eigentümer des Scripts: nobody
-> Eigentümer der Datei, auf die ich zugreifen will: nobody
Dann müssts doch gehen??

Äh, ja, aber dann sind wir gewissermaßen wieder da, wo wir angefangen haben, bei der Frage, die bereits ganz oben steht: Statt über ein simples CGI-Skript oder die Shell kann dann ein jeder über ein genauso simples PHP-Skript Deine Skripte und erstellten Dateien lesen oder löschen. Und das angesichts der Tatsache, daß Du höchstselbst jetzt nicht einmal mehr direkten FTP/Shell-Zugriff auf Deine eigenen Dateien hast. Mal ganz zu schweigen davon, daß deutlich mehr Kiddies mit PHP rumdaddeln als mit CGI-Geschichten.

Es sollte nicht unerwähnt bleiben, daß es eventuell (ich hab's noch nicht ausprobiert) eine Möglichkeit gibt, die Zugriffe von PHP-Skripten auf fremde Verzeichnisse zu unterbinden, aber diese Möglichkeit steht nur dem Server-Administrator offen. Und wenn der anfängt, statt die Ursache zu beseitigen an den Symptomen rumzudoktern..naja :]

Gruß,
  soenk.e