Pierwszą czynnością jest używanie dla bibliotek (includów) rozszerzeń *.php. Dzięki temu użytkownik nie podejrzy w łatwy sposób kodu źródłowego biblioteki, a jedynie ewentualny "output".

Ponadto warto biblioteki składować poza katalogami udostępnianymi przez http (na ogół powyżej public_html). PHP jako język wykonujący się po stronie serwera będzie miał do nich dostęp, a sam serwer http już nie, więc nie będzie w stanie wysłać tych bibliotek.

Ustawienie odpowiednich praw dostępu do pliku jest rzeczą na tyle oczywistą, iż nie trzeba tutaj o tym wspominać.