Wow!

Beispielsweise sollten Dateien, die nicht über das Web erreichbar sein sollen beziehungsweise es nicht müssen, außerhalb des DocumentRoot abgelegt werden, damit auch beim Ausfall der Schutzmechanismen (Löschen/Überschreiben der Per-Verzeichnis-Konfigurationsdatei (.htaccess)) kein unberechtigter Zugriff auf diese teilweise sensible Daten enthaltenden Dateien entsteht.

Hauptsache ist, dass sie nicht erreichbar ist.

Das klingt total logisch, bedeutet für mich aber völliges Umdenken!

Das bedeutet konkret, dass wenn meine Website angenommen nur aus einer index.php besteht, die header.inc.php, content.inc.php und footer.inc.php includiert, keine js, css oder images enthält in dem DocRoot nur index.php und alles andere ausserhalb zu liegen hat.

Darüber muss ich nachdenken.

beste gruesse,
heinetz