Tach!

Wie richtet man denn so etwas richtig ein? Wenn alle Anwendungen (meines Wissens) nur unter dem Useraccount des Apachen laufen können, sehe ich keine Möglichkeit der Absicherung (außer dem Safe Mode, der ab PHP 5.4 nicht mehr existiert).
Das ist eine Sache der PHP-Installation.
Mittels passender Einstellungen für open_basedir und der von dir schon angesprochenen Verzeichnisse für Sessions, (Logs,) Uploads, htdocs und data sollte es passen. Ich habe das bisher jedenfalls immer dicht bekommen.

Hmm, open_basedir schlägt aber vom Prinzip her in etwa die gleiche Kerbe wie der Safe Mode. Wenn man alles konsequent (und möglichst aus einer Hand) konfigurieren kann, dann mag das sicher aussehen. Aber sobald du einmal das open_basedir zu setzen vergisst, kann diejenige Applikation sich frei bewegen - wenn die Rechtevergabe nichts schlimmeres verhindert. Aber zumindest die Mithostlinge sind aufgrund derselben User-ID gefährdet.

dedlfix.