Tach!

welche Frage?

Du versuchst eine sichere Variante mit dem Apache-Modul hinzubekommen, obwohl es mit CGI und suEXEC mit deutlich weniger Sicherheitsproblemen lösbar ist. Ich fragte, warum man bei solchen Sicherheitsanforderungen noch auf der Modulvariante (in einer shared Umgebung) bleiben sollte?

Die Herausnahme von session.save_path aus der open_basedir-Restriction

War es jemals drin? Wenn es schon in PHP 4.3.3 nicht drin war, und in dem Ticket beklagt wurde, dass dieser "Fehler" der Restriktion es sogar bis in einen RC1 geschafft hatte, bezweifle ich das stark.

Der Admin muss isch also darauf verlassen, dass eine Direktive "php_admin_value" nicht durch eine "php_value" überschrieben werden kann.

Das ist laut PHP-Handbuch gegeben. Verlassen muss man sich auch auf alle anderen Sicherheitsaspekte, die laut System gegeben sein sollen.

dedlfix.