Seguridad en páginas php.

Hola de nuevo a todos, aki vengo con otra duda existencial:

Tras resolver algún ke otro problemilla con las sesiones de usuario me he encontrado con una situación de la cual no se realmente la problemática.

Tengo un index.php ke inicia una sesión. A parte tengo una página admin.php y otra cliente.php en las cuales el primer dato ke hay en el código es este:


Con esto lo ke consigo es ke si se intenta entrar directamente viar url a la página admin.php o cliente.php, en caso de ke no haya una sesión iniciada, el visitante es redireccionado a index.php en el ke se le va a mostrar el login.

Ahora bien, en index.php tengo dos includes. En uno almaceno variables ke voy a usar a lo largo del codigo tales como los datos de la conexion a la base de datos y en el otro tengo las funciones ke igual ke en el caso anterior usaré a lo largo del código. Aun sabiendo ke es complicado averiguar la ruta y los nombres de los archivos .php en los ke guardo esos datos, me cabe la duda de ke tipo de problema puede ocasionar ke alguien cargue directamente via url mi archivo de funciones.

En pantalla no se va a mostrar nada porke no hay nada ke mostrar ya ke simplemente se definen variables y funciones pero no se muy bien hasta ke punto puede ser peligroso eso. Mi primera solución al problema ha sido poner el mismo código ke en admin.php y cliente.php pero supongo ke será posible de alguna manera configurar algo en algún sitio ke me permita denegar el acceso a determinados archivos o carpetas a cualkiera ke no sea el servidor donde alojo esos archivos.

Es peligoros dejar esos archivos sin protección? Supongo ke la respuesta obvia es ke si.

Puedo denegar el acceso a ciertos archivos o carpetas en mi server?

Bueno gracias por leerme.

PD: No tengo ku en el teclado.

Cuando tu accedes a un archivo PHP lo unico que el usuario verá será lo que el código y el interprete de PHP arrojen al navegador, por lo tanto el código PHP mismo es "imposible" que sea mostrado, la unica forma es que el usuario tenga acceso directo al servidor, ahora, una cosa es definir funciones y otra acceder a ellas, el hecho de que esten definidas no quiere decir que PHP ejecute su código a menos que en algún lado del archivo se llamen a dicha función, de otra forma, el código jamas es ejecutado...

Si tanto te preocupa dichos archivos lo mejor es que los dejes fuera del alcance del usuario, puedes usar un .htaccess para bloquear toda petición hacia dichos archivos (deny from all), y unicamente el interprete PHP puede acceder a ellos a nivel "local", la otra es que dejes los archivos fuera de la carpeta "public" de Apache, así será imposible acceder a ellos, pero PHP podrá leerlos y ejecutarlos sin problemas...

Nota: si te das cuenta deje "imposible" entre comillas, ya que todo depende de como programes, si saneas y te proteges del contenido enviado desde el usuario, inyección SQL, XSS, etc, también queda la posibilidad de un fallo de Apache/PHP y arrojen el archivo PHP sin procesar, aunque en ese caso no se mostrará, pero si se enviará el archivo como descarga...

Muchas gracias :)