Il motivo per cui dovresti considerare di mettere questo file al di fuori della web root è che alcuni provider di hosting hanno temporaneamente smesso di interpretare PHP di tanto in tanto (a causa di errori di configurazione, spesso dopo un loro aggiornamento). Il codice verrà quindi inviato in chiaro e la password sarà disponibile.
Considera questa struttura di directory, dove public_html è la radice web:
/include1.php
/public_html/index.php
/public_html/includes/include0.php
Ora considera questo index.php :
<?php
include('includes/include0.php');
do_db_work_and_serve_page_to_visitor();
?>
Se il server web inizia a servire questo file all'aperto, non ci vorrà molto prima che qualcuno tenti di scaricare include0.php . Nessuno potrà scaricare include1.php , tuttavia, perché è esterno alla web root e quindi non è mai gestito dal web server.
