Hi Sven,

Wenn der Webserver allerdings "*.php" als server-parsed ansieht,
dann dürfte es ziemlich schwierig werden, über ihn an ungeparste
PHP-Dateien ranzukommen. Sehe ich das irgendwie richtig?

einerseits kann diese Einstellung pro Verzeichnis vorgenommen werden, also an verschiedenen Stellen des URL-Baums unterschiedlich wirken; andererseits kann es über URL-Mapping mehrdeutige URLs für dieselbe Datei geben.
Es kann also sehr wohl möglich sein, über den einen URL den Quelltext eines PHP-Skripts zu sehen, welches über einen anderen URL ausgeführt wird.

Wenn Du selbst die alleinige und vollständige Kontrolle über eine nachweislich korrekte Webserver-Konfiguration besitzt, welche eine Reihe von Elementen nicht unterstützt (insbesondere .htaccess und symbolic links), dann mag Deine Aussage berechtigt sein. Es ist also zumindest nicht trivial, die Korrektheit Deiner Aussage zu überprüfen.

Viele Grüße
      Michael