當 PHP 以 Apache 模塊方式安裝時，它將繼承 Apache 用戶（通常為“nobody”）的權限。這對安全和認證有一些影響。比如，如果用 PHP 來訪問數據庫，除非數據庫有自己的訪問控制，否則就要使“nobody”用戶可以訪問數據庫。這意味著惡意的腳本在不用提供用戶名和密碼時就可能訪問和修改數據庫。一個 web Spider 也完全有可能偶然發現數據庫的管理頁面，并且刪除所有的數據庫。可以通過 Apache 認證來避免此問題，或者用 LDAP、.htaccess 等技術來設計自己的訪問模型，并把這些代碼作為 PHP 腳本的一部分。

通常，一但安全性達到可以使 PHP 用戶（這里也就是 Apache 用戶）承擔的風險極小的程度時候，可能 PHP 已經到了阻止向用戶目錄寫入任何文件或禁止訪問和修改數據庫的地步了。這就是說，無論是正常的文件還是非正常的文件，無論是正常的數據庫事務來是惡意的請求，都會被拒之門外。

一個常犯的對安全性不利的錯誤就是讓 Apache 擁有 root 權限，或者通過其它途徑斌予 Apache 更強大的功能。

把 Apache 用戶的權限提升為 root 是極度危險的做法，而且可能會危及到整個系統的安全。所以除非是安全專家，否則決不要考慮使用 su，chroot 或者以 root 權限運行。

除此之外還有一些比較簡單的解決方案。比如說可以使用?open_basedir?來限制哪些目錄可以被 PHP 使用。也可以設置 Apache 的專屬區域，從而把所有的 web 活動都限制到非用戶和非系統文件之中。