Nehmen wir mal an, der Quelltext ist ohne Sicherheitslücken, also unanfällig gegen SQL-Injection und dergleichen. Das verbleibende Sicherheitsproblem wäre in meinen Augen nur noch eine Offenlegung von vertraulichen Daten. Dieses Risiko kann man umgehen, indem man solche Daten außerhalb des DocumentRoot ablegt. Ein ordentlicher Provider gestattet es, solche Verzeichnisse anzulegen. PHP hat, wenn es läuft, über das Dateisystem Zugriff auf diese Daten, und der Webserver liefert nichts aus, was nicht im DocumentRoot liegt. Bleibt dann noch ein weiteres Sicherheitsproblem übrig?

Deine Annahmen sind natürlich korrekt, ich habe sensible Daten wie php-Dateien mit den Datenbankpasswörtern auch ausserhalb des docroots oder in einem Verzeichnis worauf der Zugriff via .htaccess unterbunden wird.
Und natürlich bin ich bestrebt Quelltext ohne Sicherheitslücken zu schreiben ;)

Aber wie sieht die Realität aus? Wieviele fertige PHP Anwendungen kennst du, die keine config.php im Hauptverzeichnis der Anwendung haben? Fakt ist nunmal, dass soetwas praktiziert wird und hier wäre ein Ausfall des PHP Interpreters fatal.