К исходному файлу доступа нет, только к результату выполнения.

rownong27, Конфиг веб-сервера должен быть настроен на передачу всех *.php файлов, хранящихся в публичной части, в бекенд к php (внутри сервера). То есть на их запуск на сервере и получение результата их работы. В противном случае они будут скачиваться, как обычных файлы, чем они по сути и являются. Если они запускаются, и виден только результат их работы, то опасаться нечего в этом плане) Никто их не скачает. А браузер тут не при чем, так как php код выполняется на сервере до отдачи результатов его работы в браузер.

Может никто не скачает, зато сможет внешне запускать с целью перегрузки сервера, особенно, если выполнение этих скриптов жрет много ресурсов.

Skyworker, Так вопрос и был про то, что



Если скрипты существуют для запуска из cli, или это часть простых админ-ресурсов, которые должны юзаться только админом, их лучше закрывать средствами веб-сервера. А какой смысл хранить в другом месте скрипты для запуска по ссылке или вебхуков, они же все равно там доступны должны быть по определенным ссылкам извне. Их можно хранить в дирке вебсервера, просто эти технические дирки к ним обзывать по-сложнее, так снизится вероятность найти их автоматическими сканнерами, потому что тут по-другому никак, если сервису нужно стучаться в ссылку, она должна быть видна в инет. В общем, тут смотря что нужно тс, и смотря какие скрипты. Но все скрипты, кроме cli (и даже для cli при правильной настройке), можно хранить в дирке веб-сервера, и ограничивать их средствами веб-сервера согласно потребностям безопасности.