Es geht darum, das der Installationspfad jedem bekannt ist, wenn die Vorgabe beibehalten wird. Dementsprechend gestalten sich Manipulationen jeglicher Art unkomplizierter.
- Die Verzeichnisstruktur innerhalb des XAMPP's ist ja bekannt. Da kannst ja einfach per relative Pfade arbeiten.
- Die Standardpfade wie "Windows", "System32", "Programme" bekommst du fertig über Systemvariablen.
- Dieser Installpfad ist nur gültig für den Installer, nicht für's ZIP u. 7Zip-Exe.
- Wenn du schon so ein (böses) Script auf einem fremden Server unterbringst, dann weist du ja eh über getcwd() wo du grade bist und kannst über is_dir() noch dir bekannte Locations abfragen.
Auf der anderen Seite:
- Innerhalb von Programme besteht zumindest schonmal für lokal angemeldete User erhöhte Einschränkungen was Schreibrechte angehet
- "Programme" und Unterverzeichnisse werden automatisch von der Systemwiederherstellung mit erfasst.
Wenn du Sicherheit brauchst:
- Sorge dafür, dass Scripte nicht ungehindert auf die Platte zugreifen können.
- Benutz für den Apache einen eigenen User mit genau definierten Rechten.
(Die oberen 2 Punkte gehen halt nur eingeschrängt, da der Apache unter Windows mit dem Rechtesystem von Windows nicht wirklich viel anfangen kann, im Gegensatz zum IIS oder wenn man den Apachen unter *nix betreibt=
- Überprüfe deine Scripte auf Schwachstellen.
BTW:
Ist der XAMPP eine lokale Entwicklungsumgebung und es kann ja so eh keiner von aussen auf den Apachenn zugreifen und evtl. Scripte ausführen...
Allerdings spricht natürlich auch grundsätzlich nichts dagegen den XAMPP / Apachen wo anders hin zu installieren: Platzmangel auf C, du willst eine eigene Platte für XAMPP, du sortierst/installierst deinen Programme eh schon wo anders hin, ...