A configuração mais fácil é usar o cFos PNet com um usuário. Para aumentar a segurança, é recomendável criar um usuário limitado e iniciar o cFos PNet com esse usuário. Antes de oferecer serviços públicos, você limita o acesso a seus drives e pastas (usando as configurações de segurança do Windows), para que o usuário representado no cFos PNet possa apenas acessar suas pastas públicas e privadas.
Você também pode permitir a diferentes usuários, acesso à árvore de pastas do cFos PNet. Configurando a diretiva de Usuário em .htaccess, você determina qual usuário é representado quando estiver hospedando a pasta correspondente. Uma execução Javascript também é feita sob essa representação de usuário. Use a configuração de segurança do Windows para restringir acesso para cada usuário apenas aos arquivos e pastas que o usuário necessita. É possível, por exemplo, incluir arquivos de inclusão arbitrária usando o mecanismo de server side include (SSI). Para permitir certo usuário de acessar apenas seus arquivos, você precisa restringir seu acesso a suas pastas somente.
Não use dados de cliente não-interpretados. Por exemplo, se suas webpages permitem entrada de dados de usuário mostradas como HTML, talvez você queira limpar a entrada antes para prevenir <script> ou <iframe> tags, etc. de serem incluídas nas páginas de saída. Senão, todos os tipos de ataques cross-site são possíveis.
Nomes de arquivo devem ser sempre verificados, então o acesso é restrito somente às pastas públicas do cFos PNet. Você pode usar as funções filename_ok e absolute_filename para este fim. Por exemplo, um invasor pode tentar usar nomes de arquivo como: "..\..\..\windows\..." de modo a fazer que seus scripts acessem a pasta do Windows, ao invés da pasta pública.
A melhor prática é rodar tudo sob um usuário limitado e restringir acesso apenas aos arquivos do cFos PNet.