Merci pour ta réponse.

Le problème venait effectivement des fonctions header.

En revanche un htaccess Deny for all empèche toute personne ( à priori) d'accéder aux fichiers, mais n'empèche pas le servuer d'y faire appel via des include ou require. Ce qui protège à priori mon code.

De même des liens direct via des href sur des fichiers non protégés faisant uniquement apparaitre des include sur des fichiers protégés fonctionne très bien.

Il suffit de programmer le site pour tenir compte des problèmes de sécurité dès le départ. Comme dab. Rien ne sert de vouloir mettre de la sécurité après coup. Trop de problèmes à résoudre....