proteção extra em php

galera, ontem li uma matéria falando sobre falhas de protecao em php.

segundo a matéria a falha mais grave estaria no config.php, configurator.php, ou a escolha do programador.

segundo a materia, é nao deixa de ser verdade o config carrega os dados de acesso ao BD. ai eu me pergunto como proteger esse arquivo ? se ele tem a senha do BD ? a revista sugere a insercao do seguinte codigo.

$xa = getenv('REMOTE_ADDR');
$badwords = array(";","'","\"","*","union","del","DEL","insert","update","=","drop","sele","$");

foreach($_POST as $value)
foreach($badwords as $word)

if(substr_count($value, $word) > 0) die("Security Warning!<br />Forbidden simbols are included, please remove them and try again -> $xa");

mas sera que só isso é suficiente ? pesquisando um pouco na internet encontrei um artigo dizendo que um bom modo de proteger as configuracoes do BD e a pasta do Administrador, seria usar a restricao de diretorios do servidor. Achei meio estranho, isso funciona ? nunca tinha ouvido falar.

bom, espero que comentem.