Га-Ноцри

если смотреть со стороны привилегий то Пользователь mysql находится в группе "others" для серверных файлов, стоит просто чмодить файлы веба, сделать нечитабельными для "others" и все станет на место

chmod 750, допустим

по поводу мускулного запрета (secure_file_priv) , читай тут