Ubuntu Server 16.04 mit Plesk, ich bin PHP-Laie:
Beim Einspielen von Patches wurde ich häufiger vor die Wahl gestellt die php.ini zu aktualisieren oder beizubehalten. Hab sie nicht überschreiben lassen. Auch weil ich unter /opt/plesk/php/<...>/etc/php.d/99-meinePhp.iniAenderungen.ini einige Einstellungen der php.ini selbst überschreibe.
War das falsch - weil auch die php.ini Sicherheitskorrekturen unterliegt? Hatte den Eindruck dass manche Änderungen der php.ini eher persönlichen Vorlieben des jeweils verantwortllichen Maintainers denn der Sicherheit dienten.
Lese gerne auch Links oder Bücherverweise zum Thema.