Ist OK so, aber ich sehe den Sicherheitsgewinn nicht wirklich. Wenn Du in deinem Script jetzt beispielsweise eine Lücke drin hast, durch die man Verzeichnisse auflisten und Dateien anzeigen kann, ist es egal, wo dein Script liegt.

Du verschleierst zwar den wahren Ablageort deines Scripts, aber der Zweck ist mir unklar. Und ich habe das bisher auch noch nicht gelesen, dass man das machen soll. Früher nahm man cgi-bins, also Verzeichnisse, in denen nichts einfach so ausgeliefert, sondern alles ausgeführt wurde. Da das umständlich ist und viele Leute keine Lust hatten, sich daran zu halten, hat es sich durchgesetzt, dass fast alle Provider einfach nach der Dateiendung gehen: .php wird als PHP-Script interpretiert (meist hardcoded auf den PHP-interpreter), während .pl und .cgi als cgi-scripts laufen (und je nach shebang den Interpreter wählen).