Re:

Der Server benötigt nur Leserechte, mehr nicht. Das Hilfsprogramm htpasswd läßt sich über einen Prozess mittels PHP bedienen. Dabei erstellt / ändert es Datein im Modus 0644.

Wo siehst du eigentlich den Unterschied, ob das CGI-PHP-Script die Schreibrechte hat oder der Server mit PHP-Modul?

Bezieht sich die Frage auf die unterschiedliche Handhabung der Dateirechte des Servers, so ist festzustellen, daß PHP als Handler leider die Rechte, die mit suexec gewechselt werden sollten, nicht wechselt, wie das beim CGI-Binär geschiht. In wiefern man mit einem kleinen Trick eine SSI-Konfigurationsanweisung ausnutzen kann, den Server doch zum wechseln zu nötigen, steht noch auf meiner Liste.

Was genau interessiert dort der User (der bei PHP als Handler User und Group des Servers und beim CGI dem angegebenen SuexecUserGroup entspricht)?
Das ist jetzt deine Mutmaßung, dass das Ganze so wie du es eben beschrieben hast läuft.
In dem Fall wäre das mit den Schreibrechten auch richtig.

Ich setze das beschriebene Prozedere auch ein. Im Übrigen verstehe ich jetzt, was Du mit Schreibrechten meinst. Die Scripte werden ohne Ausnahme vom CGI-Binär ausgeführt, da dies wegen der oben angedeuteten "Rechteverletzung" des Moduls vermutlich auch vorwiegend in Shared-Hosting-Umgebungen eingesetzt wird.

Allgemein: Trete den Gegenbeweis an!

Als PHP-Modul oder ohne SuexecUserGroup sieht das natürlich anders aus. Der OP hat nicht gesagt, was bei ihm/seinem Hoster läuft.

Nur was die Schreibrechte angeht. Sicherheitsbedenken sehe ich bei vernünfiger Abschirmung durch Datei- und Verzeichnisrechte nicht. In dem Sinne kann eine detailierte Betrachtung, um welches SAPI es sich handelt, mangels Relevanz ausbleiben.

Und die Sicherheitseinstellungen des Servers müssen auf das PHP-Skript, dass die Sicherheitseinstellungen des Servers ändert, wirken. Sonst könnte ja jeder kommen...

Wovon um alles in der Welt redest Du? Die Sicherheitseinstellungen des Servers werden von PHP zu keiner Zeit berührt und es wird auch wie in Deinem ursprünglichen Post keine Serverkonfigurationsdatei manipuliert, es werden Daten, die zur HTTP-Authentifizierung herangezogen werden, geändert.

Anders ausgedrückt: Der Server muss auch das Script schützen, welches die Zugangsmodalitäten zu anderen Seiten des Projekts regelt. Und je nach Hierarchientiefe kann das zu einem verknüpften organisatorischen und Sicherheits-Problem werden.

Wiebitte? Wir reden hier von HTTP-Authentifizierung. Diese wird bis auf das Starten eines Prozesses, um htpasswd, oder von mir aus auch wie in Deinem Beispiel, um dbmmanage auszuführen, ausschlißlich vom Server geregelt. Warum sollte der Server das PHP-Script schützen, wenn es doch erreichbar sein muß, um Formulardaten zu validieren und gegebenenfalls htpasswd auszuführen?

Gruß aus Berlin!
eddi