Moin!

sogar noch Schlimmeres: die PHP-Scripts könnten auch sensible Daten enthalten, die dann für jedermann einsehbar sind.

Dann gehört aber dem Programmierer endgültig der Arsch versohlt:

(1) Alles, was Daten enthält, gehört ausgelagert. (Grundsatz der Trennung von Daten und Programm.) parse_ini_file(), include, include_once, require, require_once sind hier die anzuwendenden Werkzeuge.

(2) Alle Daten/Dateien, die nicht über den Webserver abrufbar sein sollen, gehören grundsätzlich nicht in ein Verzeichnis unterhalb von DOCUMENT_ROOT.
(2a) Ist (2) nicht realisierbar (Einschränkung des Hosters) sind alle Dateien, die nicht über den Webserver abrufbar sein sollen in ein Verzeichnis zu schaufeln, welches gesperrt ist. (Für Apache: .htaccess mit "deny from all").
(2b) Zusätzlich zu (2) oder (2a) ist es ratsam auf einem Apache-Webserver die Dateinamen von Dateien, die nicht über den Webserver abrufbar sein sollen, mit '.ht' beginnen zu lassen, weil der Webserver auch dann das Listen (über den Autoindex) und die Auslieferung verweigert.

MFFG (Mit freundlich- friedfertigem Grinsen)

fastix®