Cuando creamos un proyecto, tenemos el directorio principal de la web (Supongamos usuario/www) ese es el directorio accesible desde el navegador y en casi todo curso o manual siemrpe se recomienda que los archivos sensibles se coloquen fuera de ellos, es decir en el directorio de usuario. (por ejemplo usuario/private/)
La cuestión es ¿que directorios es conveniente colocar fuera del www ? ya que el código php no es visible desde el navegador, es tentador hacer todo el sitio en el mismo "árbol " dentro de www y no plantearse esto siquiera, pero siempre pienso que, tal vez ,un atacante pueda acceder a esos archivos aprovechándose de algún bug y ver, por ejemplo, la informacion de conexion a la BD.
yo por ejemplo suelo colocar mi API (los archivos .inc.php ) y los archivos config, en un directorio fuera de este arbol, pero siempre me ha surgido la duda de si esto ralentiza la carga de la web y si no seria mas correcto usar este método solo en casos excepcionales como pueda ser almacenar contraseñas o las carpetas a las que se permite subir archivos...
¿que opinan?
En general se que muchos estarán tentados de responder que utilice un framework o que mire las jerarquías de joomla o Drupal, pero la verdad es que quiero entender el por que de una forma o de otra para conocer mis opciones.
gracias a todos y un saludo
