Grunden til at du bør overveje at lægge denne fil uden for webroden er, at nogle hostingudbydere midlertidigt er stoppet med at tolke PHP fra tid til anden (på grund af konfigurationsfejl, ofte efter en opdatering fra deres side). Koden vil derefter blive sendt i klartekst, og adgangskoden vil være ude i naturen.
Overvej denne mappestruktur, hvor public_html er webroden:
/include1.php
/public_html/index.php
/public_html/includes/include0.php
Overvej nu denne index.php :
<?php
include('includes/include0.php');
do_db_work_and_serve_page_to_visitor();
?>
Hvis webserveren begynder at vise denne fil i det fri, vil det ikke tage lang tid, før nogen prøver at downloade include0.php . Ingen vil være i stand til at downloade include1.php , dog fordi det er uden for webroden og derfor aldrig håndteres af webserveren.