Я создаю своего рода сервис, где люди могут загружать файлы PHP и получать свой собственный каталог.
Есть ли способ запретить PHP доступ к корню сервера? и просто остаться в границах своей папки?
Директива open_basedir делает именно это:
open_basedir
Ограничение файлов, которые могут быть открыты PHP в указанное дерево каталогов, включая сам файл.
Наиболее безопасным будет chroot Apache и PHP .