sicherheit bei multisite: dateizugriff mit php auf dateien abschalten

Mooin,

Meine Multisite ist unter drupal 5.7, apache2, mysql am laufen. Eine Domain z.B. konfiguriert per apache-vhost:

Im drupal-5.7-Verzeichnis gibt's dann ./sites/meinesite.de/settings.php. Die Site ist erreichbar und (fast) alles läuft korrekt.

Wenn ich beim Content erzeugen (oder bearbeiten) "PHP-Code" als Eingabeformat zulasse (und so solls sein), kann ich mir mit diesem u.g. Code-Snippet alle Dateien aller anderen Sites anschauen (site-übergreifend!). Und auch alle Systemdateien anzeigen lassen, die allgemein mit Leserechten ausgerüstet sind.

Beispiel: opfer/settings.php (db-logins):

Wenn ich mir schon n Passwort ausdenke, für jede site eine eigene Datenbank anlege usw. wär's ja wohl blöd, wenn jemand von einer site die kennwörter einer anderen site rauslesen kann.

was ich bisher rausgefunden habe: Abweichend von der -sagen wir mal üblicherweise-beschriebenen- Methode gibt es die Möglichkeit, die Sites nicht unter dem drupal-main, sondern auf der gleichen ebene anzuordnen und dann die wichtigsten *.php dateien symbolisch zu linken. Allerdings weiss ich nicht, ob sich diese Anleitung nicht auf eine alte (<5.0) version bezieht und ggfs. obsolet ist.

Ich bräuchte optimal was, womit man auch mit php sich nicht einfach Dateien ziehen kann, am besten so, dass Benutzer und Leistung nicht irgendwie eingeschränkt sind und ausserdem Module nicht den Geist aufgeben.

Vielleicht kann mir jemand hierzu etwas sagen. Danke schonmal!

Grüsse!
Ced