[Edivaldo Reis]

Para que uma aplicação desenvolvida com Yii funcione, é necessário deixar a pasta runtime em applications com permissão de escrita.

O fato da pasta runtime ficar com permissão de escrita não deixaria o servidor vulnerável a ataques?? Um cracker conseguiria enviar arquivos para a pasta runtime?

Se um cracker tiver acesso ao arquivo application.log da pasta runtime, pode ser um prato cheio para ele hackear o site?

[Newerton]

Edivaldo,

Pelo browser é dificil ele acessar a pasta runtime.
Se ele conseguir acessar diretamente pelo servidor, ele não irá na pasta runtime, e sim na config/

A pasta runtime quem tem acesso a ela de leitura e escrita e somente o framework, ha não ser que você tenha alguma aplicação que esteja enviando algum tipo de arquivo para a pasta runtime.

[Lothor]

Exatamente Edivaldo, conforme o Newerton falou, não dá para alguém acessar a pasta "runtime" através do navegador.

Vale lembrar que na pasta "protected", temos um arquivo .htacess com um deny from all lá dentro, ou seja, o que estiver dentro de "protected", só o framework terá acesso.

[Rodrigo Coelho]

Edivaldo, você pode tomar alguns cuidados:

• Rodar o PHP e o servidor Web com um usuário específico e com o mínimo de privilégios.
  
• Permitir somente as permissões (leitura, escrita e execução) necessárias e para determinados grupos e usuários nos arquivos e diretórios do projeto.
  
• Eu gosto de tirar o diretório runtime (e outros) de dentro do webroot. Veja o link abaixo.

Há também um tópico sobre segurança no guia e vários artigos no wiki, onde eu recomendo Moving project code outside of webroot e How to write secure Yii applications.