Personnellement, je pense que tu pourras pas tous les arrêter et puis il ne peuvent prendre que le contenu résulté (HTML, Javascript, CSS).
Le mieux c'est c'est de faire faire un DOCUMENT_ROOT vers une dossier avec seulement des fichier HML, CSS et javascript. Tout tes fichiers PHP script tu les mets dans un autre dossier et tu fais un soit un set_include_path, soit tu fais plein include fichier.
Je pense que c'est une bonne pratique de sécurité. Et fait autant de modèle MVC que possible, cela veut dire que peut importe ce qu'il tape dans l'URL, il appellera toujours l'index.
6ber6ou