n'abend,

Was soll die php.ini bringen?

Es gibt diverse Möglichkeiten PHP anzusprechen, mod_php ist nicht die einzige. Z.B. bei der Integration via CGI schaut der PHP Interpreter nach, ob irgendwo im (Eltern)Pfad eine php.ini liegt, die er als lokale Konfiguration heranziehen kann.

Völlig unabhängig davon kannst du über .htaccess und "Rewrite" dem Apachen vielleicht "sagen", er solle sie nicht ausliefern.

<Files> ist Teil des Apache Cores (also überall verfügbar, sofern nicht "explizit" für's Überschreiben in .htaccess verboten, siehe "AllowOverride"). Order ist Teil der mod_access, ein Standardmodul mit einer vermutlich größeren Verbreitung als mod_rewrite.

»» Haltet ihr das für ein hohes Risiko oder kann man das einfach so lassen?
Naja, hängt von Deinen Ansprüchen ab.

Es ist prinzipiell niemals Ratsam seine Konfiguration zu veröffentlichen. Speziell dann nicht, wenn sie evtl. Informationen enthalten könnte, die es einem potentiellen Angreifer die "Arbeit" vereinfachen würde.

weiterhin schönen abend...