Защищена от взлома или нет - меня мало волнует. Можете попробовать вместо include() написать одну из следующих функций:
- include_once()
- require()
- require_once()
Результат будет тот же (в данном случае). Вообще, функции с _once() они защищают скрипт от многократного подключения одного и того же файла. Т.е. если в поключаемом файле описан какой-либо класс или функция, то уже второе подключение этого файла вызовет ошибку. А ..._once() обходят это ограничение - просто не включают повторно ;-)
А хакеры, если взломать захотят - всё равно взломают (опытные, конечно. Новички, пожалуй, с этим ничего не сделают). И даже безумно защищённый код. По правилу "умный в гору не пойдёт - умный гору обойдёт". Т.е. проще сервер вскрыть)))
Но вы же особо секретные данные хранить на сайте не собираетесь?)
