Les réponses existantes supposent que processForm.php contient le code uniquement, et n'est pas la page spécifiée dans l'attribut "action" de votre formulaire. Dans le cas où cette hypothèse est incorrecte, je réponds en supposant que vous voulez que cette page traite directement la requête POST générée par votre formulaire, mais que vous voulez empêcher quiconque d'exécuter accidentellement ou malicieusement du code dans ce fichier.
Dans ce cas, vous ne pouvez pas masquer le fichier comme recommandé. Au lieu de cela, vous pouvez utiliser un jeton créé lorsque le formulaire est affiché, stocké dans une variable de session et soumis avec le formulaire (< input type = "hidden" .../>). Avant d'effectuer un traitement dans processForm.php, vous vérifiez que le jeton est présent et correspond à celui de la variable de session. En outre, vous devez toujours nettoyer toutes les entrées de formulaire. Rien n'empêche quelqu'un de soumettre ce qu'il veut à votre script tant qu'il est accessible sur le Web.