Escribir errores en el archivo de registro de Apache desde PHP, ¿hay alguna trampa?

Sí. Estos datos deberían ser útiles para ayudar a depurar errores, sin embargo, hay al menos algunos (quizás más) posibles riesgos de seguridad a considerar:

• ¿Alguna de la privacidad de los datos es sensible (como números de seguridad social, contraseñas, direcciones, etc.)? Si es así, podría haber problemas de privacidad, pero la mayoría de esas preocupaciones ya deberían existir en el sitio web. de todas formas.

• El registro de las contraseñas sería excepcionalmente peligroso ya que sería un almacenamiento de texto simple de la contraseña del usuario, lo cual es muy malo. Si un atacante pudiera abrir el archivo de registro, podría mirar y luego ver todas las contraseñas ingresadas. En este punto, un administrador también puede ver la contraseña del usuario, lo que no se supone que suceda (porque el administrador podría hacerse pasar por el usuario), por lo que recomiendo no registrar el contenido de las contraseñas.

• ¿Están los archivos adecuadamente protegidos? Solo deben ser accesibles por los administradores. El sistema debe parchearse constantemente para disuadir a los posibles atacantes de elevar su privilegio a la raíz para leer los datos.

¡No escribas directamente los archivos! Utilice un servicio de registro (o, en el caso del error_log de Apache, simplemente imprima en el stderr). Y asegúrese de que los registros estén fuera de la raíz del documento; si se puede engañar al servidor web para que los sirva como archivos PHP, tiene una gran vulnerabilidad de inyección de código.

  

si el archivo de registro se abre / lee posteriormente a través de la línea de comandos.

Eso es complicado. ¿Abierto con qué? Transformar la salida con (por ejemplo) htmlentities debería reducir un poco la superficie de ataque, pero sospecho que nos dirigimos a la seguridad del sombrero de hojalata aquí.