Tach!

Dieser Fall würde mich wundern. Der Pfad zeigt zwar zu einem Verzeichnis, auf das ich keinen Zugriff habe,

Zumindest der User, unter dem deine Anwendung läuft, muss darauf Zugriff haben. Und wenn das ein allgemeines, nicht nutzerspezifisches Verzeichnis ist, sind die Chancen sehr hoch, dass das geschilderte Szenario die Problemursache ist.

Kommt darauf an, welche Art der Insatallation überhaupt vorliegt.

• PHP als Modul (Achtung! Nur sicher, wenn richtig eingerichtet, dafür aber sehr schnell)

Mit der ".htaccess" PHP-Einstellungen ändern zu können, lässt keine andere Option zu.

Wie richtet man denn so etwas richtig ein? Wenn alle Anwendungen (meines Wissens) nur unter dem Useraccount des Apachen laufen können, sehe ich keine Möglichkeit der Absicherung (außer dem Safe Mode, der ab PHP 5.4 nicht mehr existiert).

• PHP als CGI (meistens in einer eigenen CHROOT-Umgebung, also relativ sicher)
• PHP als FastCGI (siehe vorstehendes, aber schneller. Nicht so schnell, wie als Modul)

Diese Modi allein bringen noch keine Sicherheit. Mit suEXEC kann man zumindest einen Useraccount für die Ausführung explizit zuweisen. Den Rest muss die Systemkonfiguration bringen (Berechtigungen im Dateisystem). PHP als CGI im CHROOT hab ich auch noch nicht in freier Wildbahn gesehen (soll nicht heißen, dass es das nicht geben kann).

dedlfix.