安装为 Apache 模块

当 PHP 被用作 Apache 的模块时，它将继承 Apache 的用户权限（典型情况为用户“nobody”）。 这将对安全及授权机制产生一些冲击。例如，如果您使用 PHP 来访问数据库，除非数据库本身有内建的访问控制，否则您将使得数据库能够被用户“nobody”访问。这意味着恶意的脚本能够访问并修改数据库，甚至不需要用户名和密码。网络黑客无意中访问到了数据库管理员的 WEB 页面并通过这里删除所有的数据库是完全有可能发生的。您可以利用 Apache 的认证机制来防止这些的发生，或者也可以利用 LDAP 或 .htaccess 文件等来设计您自己的访问模式，并将这些代码包含为您 PHP 脚本的一部分。

通常，一旦安全机制建立并使得 PHP 的用于（在这种情况下，为 Apache 用户）仅为此承担很小的风险时，我们发现 PHP 此时被禁止往用户目录写入任何文件，或者还有可能被禁止访问和更改数据库。无论往防止的对象中写入文件的好坏以及进入的数据库事务的好坏，其安全性都是同等的。

在这个时候，一个频繁出现的安全错误是给 Apache root 权限，或者用其它方法提升 Apache 的能力。

给 Apache 用户赋予 root 权限是及其危险的，而且有可能会连累整个系统。因此，进行 sudo、chroot，或者以 root 账号运行等操作不应该考虑让那些非安全专家来执行。

还有一些更简单的情况。您可以使用 open_basedir 来控制和限制 PHP 能够使用的目录。您还可以建立 Apache 的专用区域，以将所有基于 WEB 的活动都限制到非用户、系统和文件。