árbol de directorios en el servidor

Hola a todos, tengo una duda que seguramente será facilísima pero no encuentro una respuesta clara. He hecho lo mas difícil una pagina web en PHP y atacando a una base de datos MYSQL. Ahora, ¿donde coloco los ficheros PHP (algunos son delicados ya que borran o añaden datos datos a la base de datos). tengo un árbol de directorios
cgi-bin
data
html
errors
logs
No se si hay que implantar algún tipo de seguridad o si crear directorios que cuelguen de HTML
gracias,

Hola
Pregunto:
- A la verdad que no entiendo muy bien tu pregunta.
- Todo usuario tiene permiso a interactuar sobre esos ficheros a los que le llamas delicados (eliminan o insertan).
- de lo contrario tendrias que hacer un sistema de autentificación (busca en el foro el de cluster, o llegate por las faq)
- si de publicación se trata lo harias dentro de tu html.

Porque no das un poquito más de detalle sobre tu proyecto para que aqui te den una mejor visión a lo que debes de hacer.

Gracias por responder, de momento no tengo un sistema de autenticación, creo que no sería problema, pero tengo la duda si teniendo todos los ficheros php dentro del directorio html pueden ser accesibles para cualquiera.

De todos modos el fichero de conexión con la base de datos lo he colocado en cgi-bin para que al menos la contraseña de la base de datos esté segura.

Ten en cuenta que los archivos php una vez que el servidor los procesa el código fuente desaparece, con lo que no se puede acceder a los datos de la base de datos.
A lo que se refería the_scorpion no es el acceso al fuente, si no a la petición de las páginas. Si yo hago una llamada a tu página borrar.ph?id=3 y no la requieres autentificación la página se ejecutaría y borraría el id 3 de la base de datos, suponiendo que esa sea la función de borrar.php.
Lo mejor que puedes hacer para poner una protección básica es utilizar la protección de directorios del hosting. Copias todos los archivos en una subacarpeta y la proteges con clave desde el panel de control del hosting.
Se puede hacer con PHP pero requiere más trabajo y no tiene sentido si no usas roles o diferentes niveles de permisos.
Por la conexión a la base de datos si la pones en una carpeta donde no se procese por PHP se podrá acceder al código, en otro caso no será posible, asíq ue no te preocupes si la pones donde están los otros archivos.
Un saludo,
Alejandro

Gracias Omnibius y The Scorpion por vuestras respuestas. Bueno, ahora tengo al menos una cosa clara los ficheros deben estar todos en el dir html.
Ahora tengo la segunda duda
Para proteger que nadie ejecute los programas que modifican la base de datos he pensado en hacerlo pidiendo usuario y contraseña. He hecho un programita para pedir usuario y contraseña y si es valido que vaya a otro url donde hay un menu para borrar o añadir registros.
El problema es que si alguien llama directamente al programa donde tengo el menu se salta el login, y si llama directamente al programa borrar.php me funde la base de datos en dos minutos.
Quizás haya que pasar los valores de usuario y contraseña a todos los programas o existe alguna solución mas sencilla.
Gracias,

Para eso se usan sesiones por ejemplo.

En tu script de "login" pides tus datos: usuario/contraseña .. los validas contra tu BBDD o donde gestiones esos datos y creas una variable de sesión que indica que el usuario "pasó" por la autentificación .. En tus scripts posteriores (donde redireccionas) simplemente validas la existencia de esa variable de sesión que es única para el usuario que las crea.

más info:
www.php.net/session

Y como te comentaban .. mi script "Autentificator" hace todo eso (y más) .. Si quieres hecharle un vistazo:

Autentificator
http://php.cluster-web.com/autentificator

Un saludo,

Tarde pero de bien nacido es ser agradecido, he investigado el tema de las sesiones y efectivamente esto era lo que buscaba, muchas gracias a todos.