Sólo por curiosidad (no tengo experiencia con el desarrollo web): ¿Por qué dices que es una mala estrategia guardar los archivos que se encargan de procesar la info fuera del directorio público? Yo pensaba que cuando se tiene el control del servidor, de esa manera quedaban mucho mejor protegidos de cara al exterior, dejando el public_html para eso... volcar el html que verán los clientes.

¿Es mejor dejarlo todo "a la vista", protegiendo de otra forma (.htaccess o similares)?