Jawaban lain yang kurang dihargai adalah membuat daftar putih url dan fitur yang diizinkan. Di Apache Anda dapat melakukan ini dengan menggabungkan fitur proxy dan penulisan ulang.
Pada dasarnya, Anda membuat dua instalasi, satu yang memiliki konfigurasi stripped down: Proxy, menulis ulang, dan tidak ada eksekusi kode; dll. Setiap URL yang "diizinkan" (dengan parameter, dll) akan diproksi untuk pemasangan kedua.
Kemudian, tambahkan diri Anda ke daftar pengembang PHP, dan pantau catatan rilis dengan hati-hati. Setiap kali Anda melihat sesuatu yang terlihat seperti kerentanan keamanan, Anda membangun shim di instalasi pertama untuk mendeteksi kegagalan semacam ini, dan mengirim kesalahan kepada pengguna.
Dalam pengaturan seperti ini, Anda akan ingin mengarahkan POST ke filter (jika Anda membutuhkan POST sama sekali; beberapa situs mendapatkan apa-apa dengan mengizinkan POST hanya dari beberapa alamat IP!) Yang dapat mencari sumber yang diizinkan, dan memvalidasi semuanya.
Daftar putih semacam itu sangat memakan waktu untuk diatur, tetapi untuk aplikasi misi kritis yang harus berjalan lebih lama dari umur PHP yang stabil (yang tampaknya hanya beberapa tahun), ini bisa menjadi cara terbaik untuk memanfaatkan sejumlah besar PHP aplikasi tanpa mendapatkan kerentanannya juga.