ich hab letztens von einem kunden einen ftp-zugang bekommen. dort hab ich auch zugriff auf die php.ini datei gehabt. konnte in dieser werte verändern, die sofort per phpinfo() sichtbar wurden.
wie bitteschön kann denn sowas gehen?

PHP wurde als CGI installiert, dass heißt, der PHP-Interpreter wird bei jedem Aufruf einer PHP-Seite extra als eigenständiges Programm vom Webserver gestartet.