A razão pela qual você deve considerar colocar este arquivo fora da raiz da web é que alguns provedores de hospedagem pararam temporariamente de interpretar o PHP de tempos em tempos (devido a falhas de configuração, geralmente após uma atualização de sua parte). O código será enviado em texto simples e a senha será divulgada.
Considere esta estrutura de diretório, onde
public_html
é a raiz da web:/include1.php
/public_html/index.php
/public_html/includes/include0.php
Agora considere este index.php :
<?php
include('includes/include0.php');
do_db_work_and_serve_page_to_visitor();
?>
Se o servidor web começar a servir este arquivo abertamente, não demorará muito para que alguém tente baixar include0.php . Ninguém poderá baixar include1.php , no entanto, porque está fora da raiz da web e, portanto, nunca é manipulado pelo servidor da web.