Почему ограничение пользователей Apache в выполняющихся сценариях?

Существуют (обычно значение по умолчанию) ограничения безопасности на месте в php.ini, чтобы препятствовать тому, чтобы сценарии использовали слишком много памяти, выполняя определенные функции или обычно делая то, что они не были должны.

Если Вы позволяете PHP выполнять сценарий оболочки, который не ограничивается этим способом, Вы открываете возможности для взломщиков. Например, они могли выполнить fork-бомбу и потенциально принести Ваш сервер офлайн. Они могли принять участие в DDoS более легко или выполнить сканер уязвимости против других серверов. Может также быть намного более трудно отладить, где что-то запустилось и точно как сервер был поставлен под угрозу при разрешении дополнительного уровня абстракции.

В целом, если сервер заблокирован вниз правильно затем, вредоносный код ограничен, но серверы очень редко блокируются вниз правильно. Обычно требуется две или три уязвимости для взлома сервера - 777 полномочий не вызовут Вас проблема, если кто-то не поставит под угрозу Ваш код веб-сайта, или злонамеренный пользователь с доступом идет, блуждая, но почему рискуют?

Когда люди пытаются войти в Ваш сервер, они обычно делают настолько слепой. Они предполагают Ваши настройки PHP, они предполагают, как Ваш веб-сервер настроен, они предполагают имена пользователей (/etc/passwd, читаемо миром), они предполагают Ваши имена базы данных. Если Вы позволяете им читать конфигурационные файлы, Вы делаете их жизнь намного легче. Если Вы позволяете им электронной почте свои файлы PHP, содержащие имена пользователей и пароли для строк соединения с базой данных, Вы делаете ее чрезвычайно легкой. Входящие брандмауэры (например, MySQL ограничения к localhost) имеют ограниченное применение, если Вы позволяете им работать независимо от того, что они хотят от Вашего сервера.