¿Cómo los hosts compartidos protegen los diferentes sitios?

Con la configuración que has propuesto allí, sí. La solución only aquí es algo como suPHP. Si su sitio web funciona con el mismo usuario que su sitio web, no hay nada que pueda hacer para protegerse. Debe configurar su sitio web como un usuario diferente y asegurarse de que los permisos de todos los archivos sean ajustados (lo ideal sería 0700).

Suponiendo que está ejecutando PHP, puede intentar aislar el sitio web de su amigo de cualquiera de estas formas:

1. (más fácil, pero menos seguro y conveniente) Establecer safe_mode y open_basedir para tu amigo. En este caso, los archivos en su directorio no tendrían acceso a nada más en el servidor web. Aunque, como está escrito en el sitio web de PHP, no se recomienda confiar en safe_mode y esta función está en desuso en PHP 5.3.0.

2. (difícil por primera vez, pero más seguro y conveniente más adelante) Haga que PHP ejecute scripts en el directorio de su amigo debajo de un usuario separado. Cómo lograrlo depende de su configuración actual de PHP y Apache. Si está utilizando mod_php, entonces puede consultar suPHP (http://www.suphp.org/), que también es un módulo de Apache. Si tiene PHP como CGI o FastCGI, puede intentar configurar suEXEC (https://httpd.apache.org/docs/2.2/suexec.html).