Самый простой способ - использовать настройку конфигурации PHP open_basedir. Если вы не используете PHP 5.3+, вам нужно добавить директиву к контейнеру виртуального хоста apache для каждого сайта:
# restrict PHP access to /home/[user]
php_value open_basedir /home/[user]
Обратите внимание, что open_basedir не является 100% безопасным решением , но является отличным способом ограничить чтение случайных кодовых форм вещами, которых не следует.