Причината, поради която трябва да обмислите поставянето на този файл извън уеб корена, е, че някои хостинг доставчици временно са спрели да тълкуват PHP от време на време (поради грешки в конфигурацията, често след актуализация от тяхна страна). След това кодът ще бъде изпратен в ясен текст и паролата ще бъде разпространена.
Помислете за тази структура на директорията, където public_html е уеб коренът:
/include1.php
/public_html/index.php
/public_html/includes/include0.php
Сега помислете за този index.php :
<?php
include('includes/include0.php');
do_db_work_and_serve_page_to_visitor();
?>
Ако уеб сървърът започне да обслужва този файл на открито, няма да отнеме много време, преди някой да се опита да изтегли include0.php . Никой няма да може да изтегли include1.php , обаче, защото е извън уеб корена и следователно никога не се обработва от уеб сървъра.
