Por defecto PHP viene configurado para desarrollo, por lo que si se tiene pensado hacer una instalación para producción se sedeb tener en cuenta la seguridad. Cambiamos en el archivo de configuración php.ini las siguientes opciones y todo saldrá mejor: Desactiva el acceso a ficheros remotos:

allow_url_fopen = Off

Register globals

register_globals = Off

Restringe a qué ficheros puede acceder PHP:

open_basedir = /www/ficheros

Modo seguro:

safe_mode = Off
safe_mode_gid = On

Acceso permitido a ficheros binarios:

safe_mode_exec_dir = /www/ejecutables

Acceso a variables de entorno:

safe_mode_allowed_env_vars = PHP_

Controlar límites:

max_execution_time = 30 ; Tiempo máximo de ejecución
max_input_time = 60 ; Tiempo máximo que trata la entrada
memory_limit = 16M ; Memoria máxima para la ejecución de un script
upload_max_filesize = 2M ; Tamaño máximo de un fichero para subir
post_max_size = 8M ; Tamaño máximo de un POST

Control de acceso a ficheros mediante Apache:

Order allow,deny
Deny from all

Mas acerca de: Webmasterlibre Configura tu PHP de forma segura checklist for securing php configuration checklist for securing php configuration