La configuración más simple es emplear cFos PNet con sólo un usuario. Para incrementar la seguridad, debería crear un usuario limitado y ejecutar cFos PNet como este usuario. Antes de ofrecer servicios públicos, debería limitar el acceso a sus unidades y carpetas (empleando las opciones de seguridad de Windows), de manera que el usuario impersonado por cFos PNet pueda tener acceso sólo a sus carptas privadas y públicas.
También puede permitir a diferentes usuarios acceso al árbol de carpetas de cFos PNet. Estableciendo la directiva User en .htaccess, puede determinar qué usuario es impersonado cuando se sirva la carpeta correspondiente. La ejecución de Javascript también se hace bajo el usuario impersonado. Use la configuración de seguridad de Windows para restringir el acceso para cada usuario sólo a aquellas carpetas y archivos que el usuario necesita. Es posible, por ejemplo, añadir archivos arbitrarios incluídos empleando el mecanismo de server side include (SSI). Para permitir a cierto usuario sólo el acceso a sus archivos, necesita restringir su acceso a sus carpetas solamente.
No use datos del cliente sin interpretar. Por ejemplo, si sus páginas permiten entrada de usuario que pueda ser desplegado como HTML, debería limpiar la entrada para evitar que etiquetas de <script> o <iframe>, etc. sean incluidas en las páginas de salida. De otra manera se vuelven posibles todo tipo de ataques entre sitios (cross-site attacks).
Los nombres de archivos siempre deberían verificarse, de manera que se refieran sólo a las carpetas públicas de cFos PNet. Puede emplear las funciones filename_ok y absolute_filename para este propósito. Por ejemplo, un atacante podría intentar usar nombres de archivo como estos: "..\..\..\windows\..." para acceder a la carpeta de Windows en lugar de la carpeta pública.
La mejor práctica es ejecutar todo bajo un usuario limitado y restringir el acceso sólo a los archivos de cFos PNet.