Hello,

as Konzept ist eben hilfsweise der Safemode

Safemode einschalten:
Scriptberechtigter ist nun der Eigentümer des Verzeichnisses, in dem das Script liegt
  oder der Eigentümer des Scriptes (oder der Eigentümer von beiden)
Für den Ressourcenberechtigten gilt analog das gleiche
Nun werden vom Webserver (PHP) nur noch Ressourcen angefasst, deren Ressourcenberechtigter identisch mit dem Scriptberechtigten ist

ggf. mit safe_mode_gid die Restriktionen etwas lockern
Dann wird das Prüfungsverfahren für die Berechtigungen in als Lockerung der Restriktion auch noch für die Gruppen durchgeführt.

Welstverständlich gelten die Zugriffsrechte auf Datei- und Verzeichnisebene weiterhin als zusätzlich Einschränkung.

Mit open_basedir wird für den VirtHost (oder sogar für das Verzeichnis, in dem das Script abgelegt wird) eine zusätzliche Einschränkung aufgebaut für alle Ressourcenzugriffe

Allerdings müssen auch

• include_path
• session.save_path
• upload_tmp_dir
• safe_mode_exec_dir

vernünftig eingestellt werden.

in den meisten Providereinstellungen kann man nämlich die Sessions der anderen User klauen.

Harzliche Grüße aus http://www.annerschbarrich.de

Tom