PHP が Apache モジュールとして使用された場合、PHP は、Apache ユー ザーの許可属性(通常はユーザー "nobody" の許可属性)を継承します。 これは、セキュリティと認証に数々の影響を与えます。例えば、データベー スと接続するためにPHPを使用している場合、データベースが組込みのア クセス制御機能を有していない限り、そのデータベースを "nobody"ユー ザからアクセス可能とする必要が生じます。これは、悪意のあるスクリプ トが、ユーザ名とパスワードなしにデータベースにアクセスし、修正する ことができることを意味します。Webスパイダがデータベース管理用Webペー ジを回って、データベースを全て削除することも可能です。Apache認証に よりこの攻撃に対して防衛することが可能であり、また、LDAPや .htaccessファイル等を使用して固有のアクセスモデルを設計し、PHPスク リプトの一部としてそのコードをインクルードすることも可能です。
しばしば、PHPユーザ(この場合は、Apacheユ�¶)に関するセキュʣÆィ 上のリスクが非常に小さいという観点で一旦セキュリティが確立されると、 PHPは、ユーザディレクトリにウイルスファイルを書き込んだり、非公開の データベースにアクセスしたり変更したりといったことが出来なくなりま す。しかし、同じくファイルの書き込みやデータベーストランザクション に関して所要の安全性が確保されていると言えます。この観点からしばし ば行われるセキュリティ上の失敗としてApacheにルート権限を与えるとい うものがあります。
Apacheユーザの権限をルートに昇格させることは非常に危険であり、シ ステム全体を危険にさらす可能性があります。よって、sudoやchrootの実 行、ルートȩ限で実行を行う他の手段は、セキュリティに精通した人以外 は、考慮するべきではありません。