En efecto, pero cumple con el propósito de responder la pregunta inicial, es cosa de un retoque aquí o allá para que algo se vea de una forma particular, no hay ningún voodoo involucrado del por qué ese .html parece tener contenido dinámico :)

Y referente a la seguridad, lo que ya ha dicho Ronruby es suficiente, al menos en lo que se refiere a poder ver el código PHP desde un navegador cualquiera, aún así, un libro bueno referente a seguridad en PHP es Essential PHP Security de Chris Shiflett