Belakangan marak yang namanya injection via php..
Saya cuma bisa nyaranin sebaiknya seting php dengan berikut di php.ini

safe_mode = On
doc_root = /var/www/htdocs
user_dir = /home/*/public_html
disable_functions = escapeshellarg, escapeshellcmd, exec, passthru, proc_close, proc_get_status, proc_nice, proc_open, proc_terminate, shell_exec, system

Jangan lupa.. baca juga tentang
PHP Manual - Security
Juga ada tool buat check php yang terinstall
phpunit

php bisa jadi teman.. bisa juga jadi musuh dalam selimut