Hi miteinand..
einen workaround für dieses Problem gibt es aber auch, man definiert einen PHP-Include-Path, der _AUSSERHALB_ des http-trees liegt, in dem man alle sicherheitsrelevanten lagert (alle mit passwörtern usw.).
Dann bekommt der ausserordentlich-viel-glück-habende-uninterpretierten-quelltext-lese (phew) nur das <?php include "whatever.php"?> zu sehen.

bis dann
gero