Důvod, proč byste měli zvážit umístění tohoto souboru mimo webový kořen, je ten, že někteří poskytovatelé hostingu čas od času dočasně přestali interpretovat PHP (kvůli chybám v konfiguraci, často po aktualizaci z jejich strany). Kód bude poté odeslán jako prostý text a heslo bude zveřejněno.
Zvažte tuto adresářovou strukturu, kde public_html je webový kořen:
/include1.php
/public_html/index.php
/public_html/includes/include0.php
Nyní zvažte tento index.php :
<?php
include('includes/include0.php');
do_db_work_and_serve_page_to_visitor();
?>
Pokud webový server začne poskytovat tento soubor otevřeně, nebude to trvat dlouho, než se někdo pokusí stáhnout include0.php . Nikdo nebude moci stáhnout include1.php , nicméně, protože je mimo webový kořenový adresář, a proto ho webový server nikdy nezpracovává.