Moje pytanie dotyczy zabezpieczenia serwera IIS przed możliwością includowania przy pomocy PHP funkcji include wrażliwych plików. Korzystam z FastCGI i PHP fajnie działa.
W pliku php.ini mam ustawione open_basedir = C:\Sites\ co elegancko ogranicza możliwość includowania plików do c:\Sites.
Ale można za to ze strony należącej do uzytkownia A np.: c:\Sites\A\1.php zaincludowac sobie stronę użytkowniak B c:\Sites\B\tajne.txt co mi się oczywiście nie podoba.
Znalazłem w internecie jak ustawić open_basedir dla każdego użytkownika/każdej strony nie zależnie tak że może on includować pliki tylko ze swojego katalogu. Wtedy podany wyżej przykład nie zadziała, a czy jest to odpowiednia metoda ? Czy powinno się jakoś inaczej ograniczyć takie includowanie ?

tak jest to odpowiednia metoda, jak przychodzi Ci nazwa pliku od użytkownika użyj funkcji basename w celu "oczyszczenia" jej ze zbędnych katalogów więcej możesz znaleźć tu -> http://www.beldzio.com/bezpieczenstwo-dostepu-do-plikow