Er zijn meerdere mod_suid achtige modules beschikbaar.
mod_suid2 dropt permanent de priveleges van het Apache (child) process dat het request afhandelt.
Dit heeft het voordeel dat het hiermee niet mogelijk is root privileges terug te krijgen met posix_setuid(0) of soortgelijke constructies.
Het grote nadeel is dat het Apache process niet voor andere requests te hergebruiken is. Per request wordt een nieuw process gebruikt en weer gestopt, wat de performance niet ten goede komt.
Dan zijn er nog een aantal modules die alleen tijdelijk de effectieve privileges droppen, zodat het process hergebruikt kan worden voor andere requests.
Leuk voor statische bestanden, maar op het moment dat je met PHP setuid() achtige functies uitvoert kan je inderdaad root privileges krijgen.
Ook bij mod_ruid worden de privileges slechts tijdelijk verandert.
Hierbij wordt de mogelijkheid om setuid() te gebruiken echter tijdelijk uit- en aangeschakelt met Linux capabilities.
Gezien je met pure PHP code geen capabilities kan veranderen, is dat redelijk veilig.
Maar vraag me af of je niet met de dl() functie alsnog code kan laden die wel misbruik van deze capabilities kan maken. Niet uitgeprobeert verder.