как обстоит дело с правами и безопасностью в php на shared hosting, и в java?

>как php добивается (и добивается ли)
Конечно нет. Это задача вебсервера.

как в этом же вопросе работает акселерация php

спокойно.

Например, в случае Индейца и пхп — mod_mpm_itk или какой-нибудь mod_suphp.

>как реализованы разделение прав, ресурсов и безопасность в явовских серверах приложений?

на уровне пользователей ОС - никак. На уровне сервера реализовано разделение прав - каждое приложение работает в своем Classloader'e. При необходимости можно сделать так, что классы одного приложения не смогут достучаться до классов другого(по умолчанию могут). Файлы, разумеется никак не защищены, ибо один пользователь. Ресурсы никак не разделяются между приложениями внутри одного аппсервера. Безопасность - смотря что имеется в виду, уточни пожалуйста.

По большей части это так потому что джава не рассчитана для шаред задач. Предполагается (и часто так и есть), что одно приложение будет на несколько серверов, а не наоборот.

Хотя у меня удачный опыт использования одного сервера (glassfish v3) для работы нескольких приложений. Но поскольку это все были мои приложения - такими вопросами, как ты написал, я не интересовался.

в sun app server и glassfish есть разделение на domain-ы. запускатся domain в собственной jvm. разделение между domain-ами средствами java - security manager и пр. ничто не мешает запустить их под разными системными учетками. на генте запускали /etc/init.d/sunappserv :

...
ebegin "Starting Sun Application Server"
start-stop-daemon --start --chuid asdomain1:sunappserv --exec
/opt/SUNWappserver/bin/asadmin -- start-domain domain1
start-stop-daemon --start --chuid asdomain2:sunappserv --exec
/opt/SUNWappserver/bin/asadmin -- start-domain domain2
...

по аналогии, когда слезли с SAS, нарисовали и пользуемся подобной запускалкой для tomcat-в. перед tomcat-ами стоит apache с ajp-proxy, tomcat-ы слухают только ajp на localhost.

на apache же накручены ssl с авторизацией и все это в tomcat-ов прозрачно просовывается.