Một câu trả lời khác, ít được đánh giá cao là xây dựng một danh sách trắng các url và tính năng được phép. Trong Apache, bạn có thể làm điều này bằng cách kết hợp các tính năng proxy và viết lại.
Về cơ bản, bạn thực hiện hai cài đặt, một cài đặt có cấu hình bị loại bỏ: Proxy, viết lại và không thực thi mã; v.v ... Mọi URL "được phép" (có tham số, v.v.) sẽ được ủy quyền cho lần cài đặt thứ hai.
Sau đó, thêm chính bạn vào danh sách nhà phát triển của PHP và theo dõi cẩn thận các ghi chú phát hành. Bất cứ khi nào bạn thấy một cái gì đó trông giống như nó có thể là một lỗ hổng bảo mật, bạn xây dựng một shim trong cài đặt đầu tiên để phát hiện loại lỗi này và gửi lỗi cho người dùng.
Trong một thiết lập như thế này, bạn sẽ muốn chuyển hướng POST sang bộ lọc (nếu bạn cần POST hoàn toàn; một số trang web chỉ hoạt động tốt bằng cách chỉ cho phép POST từ một số địa chỉ IP!) Có thể tìm kiếm các nguồn được phép và trước xác nhận mọi thứ
Một danh sách trắng như vậy rất tốn thời gian để thiết lập, nhưng đối với các ứng dụng quan trọng cần chạy lâu hơn tuổi thọ ổn định của PHP (dường như chỉ vài năm), đây có thể là một cách tuyệt vời để tận dụng số lượng lớn PHP các ứng dụng mà không nhận được lỗ hổng của họ là tốt.