Anledningen till att du bör överväga att lägga den här filen utanför webbroten är att vissa värdleverantörer tillfälligt har slutat tolka PHP då och då (på grund av konfigurationsfel, ofta efter en uppdatering från deras sida). Koden kommer då att skickas i klartext och lösenordet kommer att finnas ute i naturen.
Tänk på den här katalogstrukturen, där public_html är webbroten:
/include1.php
/public_html/index.php
/public_html/includes/include0.php
Överväg nu detta index.php :
<?php
include('includes/include0.php');
do_db_work_and_serve_page_to_visitor();
?>
Om webbservern börjar visa den här filen i det öppna tar det inte lång tid innan någon försöker ladda ner include0.php . Ingen kommer att kunna ladda ner include1.php , dock eftersom det är utanför webbroten och därför aldrig hanteras av webbservern.