Если запретить выполнение php в определенном каталоге, это будет безопасно?

Задача о семиугольном треугольнике.
Или у ваших пользователей есть возможность создавать и запускать РНР-скрипты, или зачем вообще обрабатывать файлы из пользовательского каталога интерпретатором РНР?
Вообще, вопрос предполагает кучу всякого по умолчанию, хотя оно совершенно не обязательно. Что у вас Апач и только Апач, например.

Adamos, вот поэтому я и хочу отключить выполнение php в этих каталогах

rinaz22, вопрос в том, вот почему вы его вообще включили.

Adamos, эмм... Чтобы работала система моего сайта, ведь надо же как-то работать конструктору.

Ваша CMS с конструктором лежит в пользовательских папках? Вообще-то она должна существовать решительно отдельно. В том-то и цимес, что исполнение РНР должно производиться только там, где предполагается код РНР. А не в каждой папке, вываленной в публичный доступ - картинки там всякие, например, должны отдаваться без обработки, вне зависимости, что туда запихнули под видом картинок.

Вообще, в современных системах предполагается роутинг, который любые запросы, которые должен выполнять РНР, передает в единый скрипт, решающий, что с этим запросом делать дальше, а не исполняющий скрипты там, где им оказалось быть.

Adamos, да нет же. Файлы моего сайта лежат в корне, а файлы пользователей в каталоге. Я и так использую роутинг. Я хочу запретить php только для каталога, где лежат проекты пользователей. С этим и вопрос, будет ли это безопасно?

rinaz22, ну откуда нам-то знать, что вы там наваляли с роутингом и прочими настройками?

Adamos, просто мой вопрос был вообще про другое, вот и не стал писать лишнее

rinaz22, вопросы безопасности - целостны, они не бывают "про другое". Любая мелочь может скрывать за собой уязвимость.

Adamos, ну так что на счёт вопроса, будет безопасно, если только запретить выполнение php и т.п?

rinaz22, ответ - если запретить выполнение РНР и убедиться, что вы исключили выполнение РНР из папок пользователей, то у вас, возможно, не будет выполняться РНР из папок пользователей.

Можно, например, запретить выполнение из папки пользователя, но прописать в своем коде
<?php include('path/to/user/file.html'); ?>
и всей наведенной безопасности придет... в негодность.

Вот про это не совсем понял, почему?

Можно, например, запретить выполнение из папки пользователя, но прописать в своем коде
<?php include('path/to/user/file.html'); ?>
и всей наведенной безопасности придет... в негодность.

rinaz22, по тому что в папке пользователя нельзя исполнять скрипты, но читать из нее можно, а выполнять то что прочитал будет уже другой скрипт, тот который содержит строку <?php include('path/to/user/file.html'); ?>, а ему все можно.

ThunderCat, а это можно как-то решить? Пока сделал так:
echo file_get_contents("path/to/user/file.html");
Но кажется так не очень правильно

rinaz22, для таких вещей больше подходит readfile(), он производительнее и менее ресурсоемкий, а в остальном сложно сказать что и где делать, не видя всего что там есть. Тыканье пальцем в небо не мой профиль )

rinaz22, и тут еще есть вопрос безопасности на стороне клиента, так как от js в этом коде вообще ничего не защищает...