In het verleden heb ik ook eens zoiets gemaakt, wat je eigenlijk wilt is een soort van "interne directory", die van belang is voor het manipuleren van files, en een "externe (voor bezoekers 'zichtbare') directory".
Je kunt voor de "interne directory" ook $_SERVER['DOCUMENT_ROOT'] gebruiken, en bij de "externe directory" dat stuk string er af slopen en er dan voor zorgen dat mensen niet naar 'boven' deze document-root gaan. Het principe zal dan wel ongeveer hetzelfde zijn als bij dit script.