Suele suceder que tenemos nuestras funciones mas comunes dentro de archivos includes, pero si conociéramos la ruta y nombre del archivo estos se podrían ejecutar sin necesidad de pasar por el archivo que los llama, esto es perjudicial si estas funciones acceden a bases de datos o loguean un usuario.

Bueno una solución sencilla seria colocar en cada archivo esta línea de código antes de iniciar cualquier comando.

<?php
if(!defined('MAIN_TOKEN')) exit('No se puede ejecutar');
 
echo "Esto no se visualiza si se llama directo";
?>

Y claro, cuando lo necesitáramos ejecutar, el archivo que hace el llamado debería ir este código:

<?php
define("MAIN_TOKEN", "true");
 
include ("include.php");
?>

Creo que es una forma sencilla de proteger (ofuscar) un archivo include con pocas líneas. Ahí les deje una idea con lo del TOKEN para colocar un poco mas de protección, de lo cual hablaré mas adelante, y de su uso en formularios también.