Hallo,

[...] ausserhalb des "Document Root" Daten ablegen

Besser wäre das schon, eine Voraussetzung ist es aber nicht.
An die geschützen Daten könnte man höchsten herankommen, wenn der Server zwar noch Dokumente ausliefert, PHP aber aus irgendeinem Grund nicht mehr geparst wird.

Klar, wenn man die eigentlichen Dateien in ein
Verzeichnis mit einem zufaelligen Namen steckt,
z.B. "/p9aci7z/" (aber dieses Verzeichnis nicht
weiter schuetzt) und dann gegen aussen nur die
URL des "Durchschleuser-PHP-Skripts" verwendet,
dann sind die richtigen Dateien genau solange
geschuetzt, bis
a) PHP ausfaellt und ein neugieriger Benutzer
   aufgrund des PHP-Quelltexts das Verzeichnis
   herausfindet und die Dateien direkt abruft
b) ein Benutzer per Zufall das Verzeichnis
   herauskriegt
   (OK, das ist sehr unwahrscheinlich - er muss
   ja zuerst mal auf die Idee kommen. Aber mit
   "brute force" Ausprobieren waere es natuerlich
   schon moeglich.)

Wenn die Dateien aber ausserhalb des Document Root
liegen (und man keine kaputten PHP-Skripte hat, die einen
vollstaendigen Pfad ungeprueft uebernehmen und damit
aufs Dateisystem zugreifen), dann sind die Dateien
deutlich besser geschuetzt, weil der Webserver sie gar
nie ausliefern wird.

Gruesse,

Thomas