Całą Twoją apkę powinno się odpalać jednym plikiem. Index.php, app.php, api.php nie wiem jak to sobie nazwiesz. Plik ten powinien się znajdować w katalogu public. Musisz zakładać, że user może mieć dostęp do wszystkiego w tym katalogu, bo to Twój document root. Nie trzymaj tam więc dumpów bazy itp.
Cała reszta czyli pliki do includu powinny być wyżej. Tam user już nie powinien mieć dostępu, a Ty spokojnie to includujesz.
Zgodnie z psr pamiętaj że pliki albo zawierają definicje, albo kod proceduralny. Nigdy nie razem.