PHP absichern

PHP ist "Kleister", der zig Programme und Bibliotheken zusammenhält. So ist es auch mit den internen Sicherheitsfunktionen, die nicht alle Funktionen und Module abdichten (können).

Durch den Einsatz von suPHP kann auch PHP nicht mehr anrichten, was nicht auch der jeweilige Nutzer auf der Shell könnte. Sperre lieber den Apache in eine chroot-Umgebung ein.

Hi,
Mache mir gerade gedanken um die Absicherrung von PHP in Verbindung von Apache2.
Bis jetzt habe ich suPHP mit einem Wrapper Script das für den User immer open_base Dir correct setzt.
Aber wie sieht es mit dem Befehl shell_exec(); aus, kann der mir noch gefährlich werden?
Bzw. gibt es da auch eine möglichkeit das dieser auch nur auf open_base_dir zugreifen kann? Weil ganz verbieten will ich ihn eigentlich nicht, da er hin und wieder nützlich ist z.b. um Uploads zu überprüfen.

MFG ReduX08