Самый простой способ для общего «PHP-приложения, работающего на сервере Apache, который вы можете или не можете полностью контролировать», - включить ваши включения в каталог и запретить доступ к этому каталогу в вашем файле .htaccess. Чтобы спасти людей от проблем с Google, если вы используете Apache, поместите это в файл с именем «.htaccess» в каталог, который вы не хотите быть доступным:
Deny from all
Если вы действительно имеют полный контроль над сервером (более распространенный в наши дни даже для небольших приложений, чем когда я впервые написал этот ответ), лучший подход заключается в том, чтобы хранить файлы, которые вы хотите защитить, за пределами каталога, от которого работает ваш веб-сервер. Поэтому, если ваше приложение находится в /srv/YourApp/
, установите сервер для работы с файлами из /srv/YourApp/app/
и поместите его в /srv/YourApp/includes
, так что там буквально нет никакого URL-адреса, который может получить к ним доступ.