Ciao,

i file di inclusione non devo essere raggiungibili direttamente via browser.
Inseriscili in una directory esterna alla documentRoot o protetta (attraverso i settaggi di apache) dall'accesso diretto http.

Altra soluzione, mettere nei file da includere

if(__FILE__ == $_SERVER['SCRIPT_FILENAME'])
{
exit('Vietato accedere direttamente al file') ;
}