Für einen Browser oder Crawler besteht (normalerweise) keinerlei Möglichkeiten an den PHP-Quelltext (1) dran zu kommen, da immer, wenn diese Adresse aufgerufen wird, PHP ankommt und die Seite verarbeitet. Es werden ja auch häufig mysql-Passwörter u.ä. in irgendwelchen PHP-Dateien abgelegt, wobei es ja fatal wäre, wenn die von außen sichtbar wären.

"Normalerweise" wird der PHP- Quelltext nicht ausgegeben. Aber was ist, wenn der Normalfall nicht eintritt?

Deshalb sollten Passwörter in eine include- Datei ausgelagert werden, die wiederum in einem passwortgeschützen Verzeichnis steht.

Falls der PHP- Code doch ausgegeben wird, steht dann nur
include( "./include/passwort.php" );

da, aber nicht das Passwort selbst.

Kalle