Creo que estás confundido .. todo lo que mencionas es de configuración de tu servidor HTTP .. nada que ver con PHP.
Cita: pero eso no quita que alguien accese a través de ftp y cargue script maliciosos, verdad?
Pero ... tu creas cuentas de FTP a tus usuarios? .. Los privilegios de una cuenta FTP los dá el servidor FTP en sí (cuando configuras tu usuario)
A nivel de archivos, los permisos de los directorios/archivos vía CHMOD (ese "777" que decías) ..
Pero .. esto es más própio de Linux (o el S.O. que use tu servidor) que no de PHP también ...
Un saludo,