array ( 0 => 'index.php', 1 => 'PHP Manual', ), 'head' => array ( 0 => 'UTF-8', 1 => 'fr', ), 'this' => array ( 0 => 'security.cgi-bin.shell.php', 1 => 'Cas 4 : Exécutable PHP à l\'extérieur de l\'arborescence du serveur', 2 => 'Cas 4 : Exécutable PHP à l\'extérieur de l\'arborescence du serveur', ), 'up' => array ( 0 => 'security.cgi-bin.php', 1 => 'Binaires CGI', ), 'prev' => array ( 0 => 'security.cgi-bin.doc-root.php', 1 => 'Cas 3 : Utilisation du "doc_root" ou du "user_dir"', ), 'next' => array ( 0 => 'security.apache.php', 1 => 'Installé en tant que module Apache', ), 'alternatives' => array ( ), 'source' => array ( 'lang' => 'fr', 'path' => 'security/cgi-bin.xml', ), 'history' => array ( ), ); $setup["toc"] = $TOC; $setup["toc_deprecated"] = $TOC_DEPRECATED; $setup["parents"] = $PARENTS; manual_setup($setup); contributors($setup); ?>

Cas 4 : Exécutable PHP à l'extérieur de l'arborescence du serveur

Une solution extrêmement sécurisée est de mettre l'exécutable PHP à l'extérieur de l'arborescence du serveur web. Dans le répertoire /usr/local/bin, par exemple. Le seul véritable inconvénient de cette méthode est qu'il faudra rajouter une ligne comme celle-ci : 

#!/usr/local/bin/php
au début de chaque fichier contenant des balises PHP. Il faudra aussi rendre les scripts PHP exécutables. En somme, le fichier doit être traité exactement comme tout autre script écrit en Perl ou en sh ou en un autre langage de script qui utilise #! comme mécanisme pour lancer l'interpréteur lui-même.

Pour que l'exécutable PHP prenne en compte les variables d'environnement PATH_INFO et PATH_TRANSLATED correctement avec cette configuration, la directive INI cgi.discard_path doit être activée.