exactamente como te indica @pochos, cuando un archivo php es llamado desde el servidor, éste se procesa por php y es imposible devolver el código.
los puntos de seguridad que debes atender son:
-cambiar la clave del FTP periódicamente, y evitar contraseñas del tipo "dios", "love" o "1234", para un cracker es obvio!!!
-
en lo posible que el servidor de bases de datos permita solo acceso desde localhost
-sql inyection
-XSS (Cross Site Scripting)
-
CSRF (Cross Site Request Forgery)
-utilizar CAPTCHAS
cuando sea necesario
suerte
