Tach!

Doch ich weis nicht so recht was ich erlauben soll, und was nicht, bzw. was die Nachteile sind

register_globals

Ein nahezu ausgestorbenes Feature. Bringt bei schlechter Programmierung mehr Ärger als nutzen.

allow_url_fopen

Braucht dein Code sowas wie file_get_contents('http://example.com/dokument');? Vermutlich gelegentlich. Das kann man angeschaltet lassen.

allow_url_include

Inkludierst du Code über URLs statt nur lokale Dateien? Meist macht man das aus guten Gründen nicht und will es auch keinem Script erlauben.

magic_quotes_gpc

Auch das ist ein aussterbendes Feature. Bringt auch mehr Kopfweh als Sicherheit. Es gibt ein eigenen Kapitel im PHP-Handbuch zu den Magic Quotes.

expose_php

Ob da nun in den HTTP-Response-Headern drinsteht, das PHP und in welcher Version auf dem Server läuft oder nicht, ist eigentlich für niemanden relevant. Außer für diejenigen, die irgendwelche Sicherheitslücken ausnutzen wollen. Aber wenn die da sind, geht das auch ohne dass der Server ein laufendes PHP offenbart.

dedlfix.