open_basedir indica le path a cui php può accedere, ed ovviamente può essere usato anche nel virtual host come anche nel file di configurazione principale, non è un valore booleano o numerico

usandolo limiti l'accesso

inoltre, usando anche il safe_mode è possibile limitare ulteriormente l'accesso ai file perché non solo php potrà accedere SOLO ai file ai quali apache può accedere ma in aggiunta a questo potrà accedere solo ai file di cui apache è proprietario!

per intenderci ... /bin/sh è accessibile in lettura e esecuzione da qualsiasi programma ma scrivibile solo da root di conseguenza senza safe-mode php può eseguire sh, mentre col safe-mode php, dato che sh non è settato sull'utente di apache, non può accedervi

Inoltre, sempre con il safe-mode, è possibile limitare i programmi ai quali è possibile accedere

dal punto di vista di sicurezza, se è ben configurato, si può stare tranquilli