Problemet med avlyssnad trafik har ju alla webbapplikationer som kör vanlig http. Krypterad trafik i form av https finns inte i php, utan fixas så vitt jag vet med Apache och OpenSSL (och kan användas i kombination med php). Tror inte att det är så svårt att sätta upp, men om man behöver ett riktigt certifikat så är det nog knepigare.
En annan säkerhetsrisk är känslig information som sparas i filer på servern. Tänk dig exempelvis lösenordet till din MySQL-databas. Det måste ju finnas tillgängligt någonstans för att php ska kunna ansluta till databasen. Det bästa är om du har root-behörighet på servern så att du kan sätta rättigheterna på lösenordsfilen så att den ägs av webbservern och bara kan läsas av denna.
Om du använder ett webbhotell går ju inte det, utan alla dina filer måste ägas av dig, och alla php-filer måste vara läsbara av alla (chmod 644) för att webbservern ska kunna visa dem.
cgi-script körs dock ofta med det egna användarkontot, så en lösning kan faktiskt vara att låta ett script köras som cgi. Man gör det genom att ändra filändelsen från php till cgi och lägga till sökvägen till php överst i filen. Såhär:
#!/usr/local/bin/php
<?php
$password = "vadsomhelst";
?>
Sen är det bara att göra chmod 700 på filen så kan ingen läsa den. Varning dock för att det här scriptet kommer att gå mycket långsammare att köra än vanlig php.
