d0rM03D
imho, зависит от личного предпочтения больше чем от чего-либо другого. Для безопасности один вариант ничем не предпочтительнее другого - могу посоветовать лишь все переменные настроек (как то, паролями для базы, итд.) положить в отдельный файл вне www-директории и использовать include() с абсолютной тропой для того чтобы его включать - таким образом даже при какой-нибудь грубой ошибке никто не сможет получить прямой доступ к файлу с паролями и чувствительной инфой. Все запросы от пользователей хорошо бы проверять на соответствие ожиданиям - не очень хорошо давать им возможность как-то ввести произвольный исполнимый код в систему... но это уже зависит от обстоятельств. А так, флаг в руки. Тут где-то пробегала
ссылочка от Programmer`a на книжку "Secure PHP Development", советую скачать и прочитать, там много чего интересного и полезного...
А насчёт того держать в одном файле или в нескольких, по моему просто зависит от твоего личного удобства. В более сложных проектах (особенно если над проектом работает несколько человек) бывает удобнее разбить код на отдельные файлы - легче разбираться что отвечает за что. Если проект небольшой, можно всё сделать и одним файлом - главное всегда хорошо комментировать секции чтобы через пять месяцев вернувшись к коду можно было разобратся что к чему.
А для прямого ограничения доступа в Апаче ничего проще и удобнее .htaccess/.htpasswd ещё не придумано. Сессии и кукисы, это хорошо если ты пишешь свою собственную систему опознания и регистрации пользователей, но если нужно лишь ограничить доступ на страничку администрации, обычно .htaccess/.htpasswd хватает с головой.