La cosa si puo' intendere anche in un altro modo. La parte pubblica e' quella accessibile dal webserver, e in teoria con una buona organizzazione questa dovrebbe comprendere solo gli asset statici (js, css, immagini) e un solo front controller in php che gestisce ogni richiesta includendo altro codice (il resto dell'applicazione/framework) che andrebbe messo in una directory "privata" non accessibile dal webserver (cioe' esterna alla document root configurata per il dominio).

In questo modo il codice dell'applicazione e' al sicuro da eventuali malfunzionamenti del webserver che potrebbero portare ad esporre il sorgente anziche' interpretarlo, mostrando non solo il codice ma dati potenzialmente sensibili (credenziali di accesso al db, etc).