Понаписали вы конечно мне комментариев) Сейчас постараюсь на все ответить.

Насчет

Но возникают сомнения — сильно ли это отличается от прямого указания «require/include» в каждом запускном файле? (помимо незначительного увеличения кода, естественно)

вы правы, разницы нет между auto_prepend и подключением оного в каждый скрипт. Но вот если все же использовать в качестве меры защиты — то только auto_prepend т.к. нужно чтобы этот скрипт выполнялся для всех php скриптов на сервере (Врятли злоумышленник будет подключать систему защиты через include в свой веб шелл :D ).

Собсно запилил это на гитхаб:
https://github.com/InSys/PrependSecuritySystem

Наконец :)

Хеширование? Напомните пожалуйста, где там используется хеширование

Убрал хэширование и вижу что номера в ссылках не играют роль, файлы определяются правильно.

а если убрать хеширование названия файлов, сыграет это роль на безопасность, сам скрипт и БД лежат, вне корня сайта?

Боюсь что я не смогу вам подсказать. С момента написания поста и этого скрипта прошло уже больше года. Я не помню деталей реализации, вам прийдется вникнуть в них самому(

и раз уж на самый пожарный лучше вручную, то подскажите, а то сомневаюсь. К примеру ссылка index.html хотя на самом деле фаил index.php, ну и index.php?id=10, index.php?id=5(/index/10.html, /index/5.html) имеет ли значение?

Тоесть делать md5 кэш каждого файла и вносить в список?

Запишет, поэтому во время обучения нужно быть предельно внимательным. С этим, к сожалению, ничего не поделаешь. Ну или как вариант — обучать вручную.