Gracias Omnibius y The Scorpion por vuestras respuestas. Bueno, ahora tengo al menos una cosa clara los ficheros deben estar todos en el dir html.
Ahora tengo la segunda duda
Para proteger que nadie ejecute los programas que modifican la base de datos he pensado en hacerlo pidiendo usuario y contraseña. He hecho un programita para pedir usuario y contraseña y si es valido que vaya a otro url donde hay un menu para borrar o añadir registros.
El problema es que si alguien llama directamente al programa donde tengo el menu se salta el login, y si llama directamente al programa borrar.php me funde la base de datos en dos minutos.
Quizás haya que pasar los valores de usuario y contraseña a todos los programas o existe alguna solución mas sencilla.
Gracias,