Geïnstalleerd als een Apache module

Als PHP wordt gebruikt als een Apache module , dan erft het alle permissies van de gebruiker waaronder Apache draait . ( Dit is gewoonlijk nobody ) . Dit heeft verschillende implicaties op beveiliging en authorisatie . Bijvoorbeeld , als je PHP gebruikt om een database te benaderen ( en de database geen ingebouwde toegangscontrole heeft ) dan zal de database toegankelijk moeten worden gemaakt voor de "nobody " gebruiker . Dit betekend dat een kwaadwillend script toegang kan krijgen tot de database zonder enige vorm van authenticatie . Het is helemaal mogelijk dat een web spider langs een database administratie pagina komt en daarmee alle database verwijderd . Je kunt dit beveiligen met Apache ' s authenticatie mechanismen , maar het is ook mogelijk jouw toegangs policies aan te passen voor gebruik met LDAP , .htaccess bestanden , e.d . en deze code dan toe te voegen als onderdeel van jouw PHP scripts .

Vaak , nadat de beveiliging zo is geregeld dat de PHP gebruiker , ( in dit voorbeeld , de apache gebruiker ) weinig risico 's met zich meebrengt , is PHP nu zo afgeschermd dat het niet mogelijk is om kwaardaardige dingen te doen in een gebruikers directory .

Een veelvuldig gemaakte beveiligings dout op dit punt is het laten runnen van Apache met root permissies .

Het geven van root permissies aan Apache is enorm gevaarlijk en kan het totaly systeem onveilig maken , zo het gebruik van sudo , chroot , of het laten runnen van Apache als root , wordt absoluut afgeraden aan personen die geen beveiligings guru zijn .