У меня такая проблема: у меня хостинг на виртуальном сервере. Я даю некоторым людям ftp-аккаунты чтобы они могли тестировать свои PHP скрипты на моем сервере (мы занимаемся совместным созданием проекта). Есть папка project в ней вложены папки вида user1, user2, user3... По FTP юзеры могут попасть только в свои юзерские директории и во все вложенные директории, но выше попасть не могут.  Но сегодня я крупно пострадал от того что один из моих юзеров, что поумнее, взял да и получил доступ ко всем файлам, лежащим выше его директории. Просто из PHP скрипта, через readfile(). Также он смог изменять и удалять любые файлы на сервере.

Вопрос: как сделать чтобы из юзерских директорий скрипты могли иметь доступ только к юзерским файлам, но не к тем что лежат в папках выше? 

Это надо на уровне сервера разграничивать php.
Утилита вроде бы называется suphp. Но насколько я помню, завязана она с пользователями Апача, т.е. сервер запускается с разными правами чтоли. 

Блин. Хостинг то виртуальный...получается что мы сидим с юзерами под одним линуксовским юзером, только по FTP у нас разные права.  А может еще варианты есть? 

Других вариантов нет. 

Получается что мне нельзя никому давать FTP-аккаунты если я не хочу утечки информации???    

karataev, получается. 

Тогда подскажите пожалуйста как сделать с помощью .htaccess перенаправление такого типа:

вводится адрес: http://takih.net.ru/project/имя_юзера/путь_к_скрипту_юзера

нужно переделать его в адрес такого вида: http://takih.net.ru/project/check.php?u=имя_юзера&p=путь_к_скрипту_юзера

Я подумал что можно скриптом проверять наличие в скриптах юзера недопустимых путей (которые выше его директории) и вырезать их из кода, после чего уже запускать сам скрипт. 

Глянь в доке апача про mod_userdir
.htaceess тут не поможет. 

Поможет!
 Там есть специальная деректива, которая позволяет включать в начало каждого php скрипта специальный скрипт(который ты укажешь).
  Проблема заключается в том, чтобы уже из этого скрипта запретить следующим строчкам кода доступ к другим директориям...


  Удачи тебе. 

Спасибо, попробую что нибудь сделать  

Да незачто.....  

Если получится так сделать, напишешь результаты......
   

GZep, и это ты называешь решением проблемы?
Бред. Ну хорошо, файл ты запстил, а толку.
Если я в основном скрипте напишу scandir("/") и если у меня будут права на чтение данной папки, я ее все равно прочитаю. 

mod_userdir      

Ну, а как по-Вашему ещё можно решить подобную проблему?
   

Вот так. 

А нельзя просто при закачки файлов, содержащих скрипты, на сервер, проверять их на наличие "опасных" функций?

Как вариант решения этой задачи сойдет.....  

А про дерективу disable_functions чё скажите? решает?

Да, если ее можнго через .htaccess установить... Но думаю вряд ли.

GZep, вопрос только в том, что такое "опасные" функции 

GZep, опасных функций в PHP нет.

Зато, через большинство можно так или иначе гадостей сделать...

В настройках вирт.хоста

php_admin_value open_basedir /path/to/fopen_safe/directory/:/path/to/another/fopen_safe/directory/

И будет вам счастье.

я так понял, что эту дерективу простым людям хостеры использовать не дают?

GZep, да.
php_admin_value - директива для конфига апача. Если ты не хостер, то смысл изначального вопроса мне не понятен.

в .htaccess разрешено использовать?

навернека, если даже можно, бесплатные хостинги не разрешают её использовать....или нет?