Affronteremo un argomento facile, attualmente avviamo le applicazioni rivolte al pubblico tramite l'url: "http://dominio/App/ecc/ecc". Questo modo di procedere nasconde un'insidia, un attaccante protrebbe inserire nell'url il nome di un'app privata e l'autoload l'avvia, es. con "http://dominio/Concerto/ecc/ecc" viene avviato il Core in loop. Questo problema lo risolviamo semplicemente con un file di config in cui inseriamo l'elenco delle app che possono essere avviate tramite url.
Aggiungiamo il file con l'elenco delle app pubbliche, "/app/Concerto/app_pubbliche.yml":
e modifichiamo "/app/Concerto/App.php" in modo che legga il file
Dopo questa modifica, da url si possono avviare soltanto le app che noi abbiamo deciso di rendere pubbliche, aumentando la sicurezza del nostro framework.