我在看许多PHP编程人员在编程时候，都喜欢把一些常写的代码或配置信息，写在一个.inc的文件中，如shared.inc、global.inc等等，当然这是一个很好的习惯，包括PHP官方网站都是如此，但不知你有没有注意到这里面含一个安全隐患问题。
我有一次在写一个PHP代码时，无意中写错了一句话，当我在浏览器里查看此PHP文件时，竟然发现屏幕详细的显示了我所出错的PHP文件路径及代码行。（PHP错误显示配置是开着的（此功能在PHP里是默认的！！）），这就是说当我们无意写错代码时（同样.inc文件也一样），（或者PHP代码解析出问题时），而PHP错误显示又是开着的，客户端的用户就会看到具体url地址的.inc文件，而.url文件如同txt文本一样，当在浏览器中浏览时，就毫无保留地显示了它的内容，如果你在.inc文件写了重要的信息如用户密码之类的，那你的站点就会玩完了。

   当然我们可以通过一些办法解决：
    1,你可以专门对.inc文件进行配置，避免用户直接获取源文件。
    2,当然比较好的方法是，加上<? ?>并且改文件扩展名为.php（PHP可以解析的扩展名）,这样客户端就不会获取源文件了。