Hallo Jonathan,

ich habe nichts dagegen wenn der Includes-Pfad konfigurierbar ist, aber man sollte nicht damit rechnen bzw. erwarten, dass er außerhalb des docrootes angelegt werden kann. Ein normaler Ordner mit einem .htacces drin, der säämtlichen zugriff sperrt sollte eigentlich für den Anfang reichen.

Das ist die Alternative für Angebote, wo keine Möglichkeit besteht, Dateien außerhalb des Webroots abzulegen. Letzteres sollte aber, wenn möglich, bevorzugt werden.

Supergeheime passwörter würde ich dann natürlich nicht darin ablegen und dass man die Endung nicht auf PHP lassen sollte bzw. (was ich teilweise noch besser finde, da man so beim Versagen der .htaccess den Quellcode nicht unbedingt sieht) am Anfang der PHP-Dateien prüft ob diese ordnungsgemäß inkludiert sind sollte auch selbstverständlich sein

Du meintest sicher "auf PHP lassen"? Denn genau dann wird ja der Quellcode nicht angezeigt, wenn der Server den Dateityp nicht erkennt, wird er sich in den meisten Konfigurationen im Klartext ausliefern.

Schöne Grüße,

Johannes