Toda la razón, recorde que algunos hostings proveen una carpeta /home/usuario y dentro una public_html, asi que si mi app guarda los archivos en ../ (pensando que esta en public_html) no serán accesibles por la url.
Aunq no me guata la idea que mi app dependa del hosting, de hecho programo pensando en que no siempre el hosting es el ideal, aunque podría dejar algunos detalles como "opcionales" si es que le bajan el rendimiento.

Solo funciona en hostings linux donde este habilitado el uso de .htacccess (en cualquier caso, no pienso usar uno que no sea así), y volviendo al tema del hosting "no ideal", me quedo con las 2 soluciones anteriores, guardar fuera dle arbol o guardar los cache en una variable de cadena en un archivo .php para que al ser procesado no muestre nada.

He aquí una sorpresa que no me esperaba. Por lo que tengo entendido el usuario/grupo que ejecuta un script .php en un hosting en el mismo usuario/grupo que ejecuta el servidor web, y si esta compartido, por muy restrictivos que sean los permisos que le ponga, los otros clientes del hosting usan el mismo usuarios/grupo que el servidor web, o sea, mis archivos al lado de ellos son debieran ser igualmente visibles. Si es posible hacer que apache (u otro servidor) se ejecute como tal usuario de una carpeta hacia adentro (creo que con iis se puede), me gustaría saber como.

Todo este problema me surgió tambien de el hecho que en ciertas ocaciones o bien por ser gratuito un hosting o de pago no tengan toda la seguridad que se pudiera, y tambien pensando en que no siempre este andando bien la base de datos, para que funcione el sitio mientras se le hace mantenimiento, y para proteger los datos de conexion a la base.