hi,

Dann bleibt noch das Szenario übrig, dass der Webserver fehlkonfiguriert ist und PHP-Code unabgearbeitet rausgibt. Das sollte zwar recht schnell auffallen, weil dann mit Sicherheit ziemlich viel nicht mehr läuft, dagegen hilft aber, (PHP-)Code in eine Datei auszulagern, die nicht ausgeliefert werden kann. Also Dateien, die außerhalb des DocumentRoot abgelegt sind. Und das kann dann ruhig PHP-Code bleiben, muss nicht irgendein anderes Dateiformat werden. Allerdings ist das DocumentRoot ebenfalls (fehl)konfigurierbar.

Vorschlag: Alle Libraries aus dem DocRoot rausnehmen und nur noch eine PHP-Datei vorhalten, die vom Webserver geparst wird.

?
   ?
  ?
 \_/7