В моей практике имеется ТЗ в котором достаточно жестко прописаны требования к хостинговой площадке (без которых или с которыми точно работать будет/не будет), есть _рекоммендуемая_ хостинговая площадка. Обязательно оговорка о дополнительной оплате в случае неработоспособности на хостингововй площадке заказчика (естественно сумма оплаты определится дополнительным договором), это если заказчика вдруг перестала устраивать рекоммендуемая площадка (он ведь знал о ней когда подписывал).
Ведь на самом деле, даже устанавливая PHP с различными SAPI (CGI, CLI и проч.) ты уже влияешь на переменные окружения выполняемого скрипта. Старый прикол, $_SERVER['SCRIPT_NAME'] возвратит php.cgi вместо имени скрипта при использовании PHP-CGI SAPI (имел место в 5.1.5 вроде, не знаю как сейчас, лень проверять
Так что, хоть и скачано с php.net, а приколы остались. Так что в этом плане ты ССЗБ, что не подумал об этом сам заранее). Я молчу про стандартные фичи типа Safe Mode, MagicQutes и ещё нескольких менее очевидных и менее известных режимов/опций/настроек в php.ini при которых твоё приложение не будет работать корректно. Ну и само собой, гарантийные обязательства по обновлению и поддержке также оформляются отдельно.
Очень показательной по теме Suhosin/Hardened Patch является статья
Роковые ошибки PHP, смотрим вывод (из серии семь бед - один ответ). Ты может быть и думаешь что у тебя такое правильное идеальное приложение (как и сотни/тысячи/миллионы других разроботчиков чьи продукты красиво светятся в лентах багтрэков), но таких не бывает в реальных проектах. Программа обязательно ведёт себя не так как ты думаешь в самом неожиданном месте, но при этом она может оставаться полностью функциональной, просто об этом никто не подозревает, потому что это скрыто от глаз, это внутрення работа интерпретатора. Особенно актуально для PHP с его гибкостью во всём (чего стоит одно прозрачное определения типов данных и их динамическое приведение). Всё о чём там говорится не актуально при установленном Suhosin, который уже давно не является поделкой. Поддерживается он не только в портах FreeBSD. Ubuntu/Debian - есть и тоже ставится по умолчанию. Не хочу сейчас все дистрибутивы перебирать, такой сабж нашел: Wordpress and many other open source application developers asks users to protect PHP apps using Suhosin patch to get protection from the full exploit (http://www.cyberciti.biz/faq/rhel-linux-install-suhosin-php-protection/). Так что, имхо, пользы больше.
Пожалуй, больше мне добавить нечего.