如果不想把 PHP 嵌入到服務器端軟件（如 Apache）作為一個模塊安裝的話，可以選擇以?CGI?的模式安裝。或者把 PHP 用于不同的 CGI 封裝以便為代碼創建安全的 chroot 和 setuid 環境。這種安裝方式通常會把 PHP 的可執行文件安裝到 web 服務器的 cgi-bin 目錄。盡管 PHP 可以作為一個獨立的解釋器，但是它的設計使它可以防止下面類型的攻擊：

訪問系統文件：http://my.host/cgi-bin/php?/etc/passwd?在 URL 請求的問號（?）后面的信息會傳給 CGI 接口作為命名行的參數。其它的解釋器會在命令行中打開并執行第一個參數所指定的文件。?但是，以 CGI 模式安裝的 PHP 解釋器被調用時，它會拒絕解釋這些參數。訪問服務器上的任意目錄：http://my.host/cgi-bin/php/secret/doc.html?好像上面這種情況，PHP 解釋器所在目錄后面的 URL 信息?/secret/doc.html?將會例行地傳給?CGI程序并進行解釋。通常一些 web 服務器的會將它重定向到頁面，如?http://my.host/secret/script.php。如果是這樣的話，某些服務器會先檢查用戶訪問?/secret?目錄的權限，然后才會創建?http://my.host/cgi-bin/php/secret/script.php?上的頁面重定向。不幸的是，很多服務器并沒有檢查用戶訪問 /secret/script.php 的權限，只檢查了?/cgi-bin/php?的權限，這樣任何能訪問?/cgi-bin/php?的用戶就可以訪問 web 目錄下的任意文件了。?在 PHP 里，編譯時配置選項?--enable-force-cgi-redirect?以及運行時配置指令?doc_root?和?user_dir?都可以為服務器上的文件和目錄添加限制，用于防止這類攻擊。下面將對各個選項的設置進行詳細講解。情形一：只運行公開的文件

如果 web 服務器中所有內容都受到密碼或 IP 地址的訪問限制，就不需要設置這些選項。如果 web 服務器不支持重定向，或者 web 服務器不能和 PHP 通信而使訪問請求變得更為安全，可以在 configure 腳本中指定?--enable-force-cgi-redirect?選項。除此之外，還要確認 PHP 程序不依賴其它方式調用，比如通過直接的?http://my.host/cgi-bin/php/dir/script.php?訪問或通過重定向訪問?http://my.host/dir/script.php。

在Apache中，重定向可以使用 AddHandler 和 Action 語句來設置。

情形二：使用 --enable-force-cgi-redirect 選項

此編譯選項可以防止任何人通過如?http://my.host/cgi-bin/php/secretdir/script.php?這樣的 URL 直接調用 PHP。PHP 在此模式下只會解析已經通過了 web 服務器的重定向規則的 URL。

通常 Apache 中的重定向設置可以通過以下指令完成：

Action php-script /cgi-bin/phpAddHandler php-script .php

此選項只在 Apache 下進行過測試，并且要依賴于 Apache 在重定向操作中所設置的非標準 CGI 環境變量?REDIRECT_STATUS。如果 web 服務器不支持任何方式能夠判斷請求是直接的還是重定向的，就不能使用這個選項，而應該用其它方法。

情形三：設置 doc_root 或 user_dir

在 web 服務器的主文檔目錄中包含動態內容如腳本和可執行程序有時被認為是一種不安全的實踐。如果因為配置上的錯誤而未能執行腳本而作為普通 HTML 文檔顯示，那就可能導致知識產權或密碼資料的泄露。所以很多系統管理員都會專門設置一個只能通過 PHP CGI 來訪問的目錄，這樣該目錄中的內容只會被解析而不會原樣顯示出來。

對于前面所說無法判斷是否重定向的情況，很有必要在主文檔目錄之外建立一個專用于腳本的 doc_root 目錄。

可以通過配置文件內的?doc_root?或設置環境變量?PHP_DOCUMENT_ROOT?來定義 PHP 腳本主目錄。如果設置了該項，那么 PHP 就只會解釋?doc_root?目錄下的文件，并確保目錄外的腳本不會被 PHP 解釋器執行（下面所說的?user_dir?除外）。

另一個可用的選項就是?user_dir。當 user_dir 沒有設置的時候，doc_root?就是唯一能控制在哪里打開文件的選項。訪問如?http://my.host/~user/doc.php?這個 URL 時，并不會打開用戶主目錄下文件，而只會執行 doc_root 目錄下的?~user/doc.php（這個子目錄以 [~] 作開頭）。

如果設置了 user_dir，例如?public_php，那么像?http://my.host/~user/doc.php?這樣的請求將會執行用戶主目錄下的?public_php?子目錄下的?doc.php?文件。假設用戶主目錄的絕對路徑是?/home/user，那么被執行文件將會是?/home/user/public_php/doc.php。

user_dir?的設置與?doc_root?無關，所以可以分別控制 PHP 腳本的主目錄和用戶目錄。

情形四：PHP 解釋器放在 web 目錄以外

一個非常安全的做法就是把 PHP 解釋器放在 web 目錄外的地方，比如說?/usr/local/bin。這樣做唯一不便的地方就是必須在每一個包含 PHP 代碼的文件的第一行加入如下語句：

#!/usr/local/bin/php

還要將這些文件的屬性改成可執行。也就是說，要像處理用 Perl 或 sh 或其它任何腳本語言寫的 CGI 腳本一樣，使用以?#!?開頭的 shell-escape 機制來啟動它們。

在這種情況下，要使 PHP 能正確處理?PATH_INFO?和?PATH_TRANSLATED?等變量的話，在編譯 PHP 解釋器時必須加入?--enable-discard-path?參數。