Os scripts PHP serão executados como:
- O usuário que está executando o Apache, conforme determinado pela diretiva
User
na sua configuração do Apache (geralmenteapache
ounobody
), se você estiver usandomod_php
- O usuário executando o PHP-FPM se você estiver usando
php-fpm
Assim, o usuário que um script PHP executará como irá variar. Portanto, cabe a você definir o proprietário e o grupo de /var/www/html
(ou onde quer que seu DocumentRoot
seja).
Além disso, você pode não desejar que seu aplicativo PHP possa gravar (ou sobrescrever) arquivos no seu DocumentRoot
, pois isso pode permitir que um visitante de um aplicativo da Web PHP comprometido ou inseguro obtenha execução remota de código privilégios. Portanto, é sua responsabilidade decidir se o seu aplicativo PHP é confiável o suficiente para permitir que ele grave em arquivos que o Apache pode servir pela Web ou até executar.
O PHP quase nunca (e nunca deve!) será executado como root por razões semelhantes às mencionadas acima.