Дополнительный трюк заключается в использовании отдельного файла конфигурации PHP, который выглядит следующим образом:
<?php exit() ?>
[...]
Plain text data including password
Это не мешает вам правильно устанавливать правила доступа. Но в случае взлома вашего веб-сайта «require» или «include» просто выйдет из сценария на первой строке, поэтому получить данные еще сложнее.
Тем не менее, никогда не позволяйте файлы конфигурации в каталоге, к которому можно получить доступ через Интернет. У вас должна быть папка «Веб», содержащая код вашего контроллера, css, картинки и js. Это все. Все остальное отправляется в автономные папки.