cual es la mejor manera de tener seguridad en mi web

Hola mi duda es sobre seguridad...
Como puedo hacerle para resguardar mis datos con php??

Habia pensado en hacer conecciones post a mis archivos que tienen las contraseñas o algo asi pero, veo que cualquier navegador te muestra toda la web y los archivos y podria bajarse facilmente incluso mis archivos de contraseña.

¿El unico modo es SQL??

Si es ese el caso mi duda es como le hago para que no puedan estar en una pagina si no se ha iniciado sesion..

En cualquier archivo que solo deba verse si el usuario está logueado, controla que ha iniciado sesión. Pero eso depende del mecanismo de sesión que hayas implementado. Si usas $_SESSION es bastante trivial.

Si te refieres a descargas directas, entonces pon tus archivos sensibles un nivel más arriba que el home de tu sitio.

Por ejemplo si el home (donde está el index.php de tu sitio) está en el directorio /htdocs pon tus archivos en / o en /config.

ok gracias por el dato te lo agradesco mucho, si me sirvio. Solo una duda yo uso wampserver para pruebas con localhost, todas las carpetas estan en www, y ahi tengo las carpetas de los demas sitios. entonces para proteger basta con que coloque el archivo una carpeta fuera del index?? bueno segun lo que entendi... o tiene que estar fuera incluso de la carpeta www??

lo que tienes que hacer es poner en una carpeta antes
osea si tu sitio es asi
c:/wampserver/www
poner una ubicacion antes
c:/wampserver
ya que el servidor solo tendra acceso a la carpeta www, lo mismos ocurre en los hostings , claro si es que te deja ya que hay algunos que solo te dan acceso a una sola carpeta la cual es publica, ahora para aumentar la seguridad , siempre tienes que controlar cualquier variable que el usuario pueda manipular, y que este relacionada a algo importante como una consulta sql

Código PHP :

$query = "SELECT * FROM lista_productos WHERE id=";$_GET['id'];

mira que estas dando a que ingrese algo mas que un simple numero ya que puede manipular la variable id hay otras variables de igual forma como las de $_COOKIE $_POST y las de $_FILE, hay otras que no muchos se percatan por ejemplo para saber la version de navegador y esas cosas son igualmente Variables que se pueden manipular

lo que tienes que hacer es poner en una carpeta antes
osea si tu sitio es asi
c:/wampserver/www
poner una ubicacion antes
c:/wampserver
ya que el servidor solo tendra acceso a la carpeta www, lo mismos ocurre en los hostings , claro si es que te deja ya que hay algunos que solo te dan acceso a una sola carpeta la cual es publica, ahora para aumentar la seguridad , siempre tienes que controlar cualquier variable que el usuario pueda manipular, y que este relacionada a algo importante como una consulta sql

Código PHP :

$query = "SELECT * FROM lista_productos WHERE id=" . $_GET['id'];

mira que estas dando a que ingrese algo mas que un simple numero ya que puede manipular la variable id hay otras variables de igual forma como las de $_COOKIE $_POST y las de $_FILE, hay otras que no muchos se percatan por ejemplo para saber la version de navegador y esas cosas son igualmente Variables que se pueden manipular

Por lo que entiendo, tuadmin te dice que pongas todos los archivos privados afuera de la carpeta publica y solo los incluyas (usando include() en php) cuando sean necesario, asi no podran bajarlos.

ok, entiendo, muchas gracias.