1. права доступа к директории - 600 (только владелец имеет право обращаться к содержимому), "внешний" (общедоступный сценарий вне директории) может включать (include/require) файлы, хранящиеся в директории ...
2. (рисунок не смотрел) я бы поступил так: если сделать поля нумеруемыми (первой ячейкой, например - id bigint auto_increment primary key), каждый новый пункт будет иметь id, равный порядковому номеру, если пользователь оставляет комментарий на конкретное сообщение в таблице комментов сохраняется id сообщения к которому он относится и его содержание, при чтении делается выборка по id (выбрать все данные из таблицы комментов, где id такой же как у сообщения и вывести) очень просто
3. если форум требует целую базу, дайте(после инсталляции форума можно дополнить базу таблицами, которые никогда не перекроются с таблицами форума [специальные имена] ... используйте)
