PHP-Security, geänderte php.ini

[jmeyerdo]

Hallo!

Nachdem bei mir "fastcgi" nun endlich läuft , habe ich weitere Sicherheits-Tests durchgefürt.
Dabei ist mir aufgefallen (beim Testen mit "phpshell" - http://mgeisler.net/php-shell/), dass die Kommandos proc_open() und popen() nicht in der php.ini deaktiviert wurden.

Das Problem sehe ich darin, dass diese Funktionen scheinbar gesetzte "open_basedir"-Restriktionen ignorieren:
http://www.heise.de/newsticker/meldung/73837

Gibt es einen Grund dafür, dass diese nicht deaktiviert werden?
Falls nicht, würde ich vorschlagen, die unbedingt mit zu "disablen".

Eine zweite Frage:
FastCGI bietet ja das geniale Feature, für jeden User eine eigene php.ini verwenden zu können. So wäre ja theoretisch manuelles Finetuning für einzelne User möglich.
Allerdings ist mir aufgefallen, dass die User-php.ini bei jedem Update der Domain überschrieben wird. Ist das notwendig? Was für Einträge werden da ggf. bei einem Update generiert, die ein erneutes Kopieren notwendig machen?

Ansonsten würde ich vorschlagen, das Kopieren bei Updates zu unterlassen, damit manuelle Änderungen nicht verloren gehen.
Oder gibt es da sonst einen Workaround für dauerhafte, eigene Einträge?

Viele Grüße, Jens