Cita:
Iniciado por pateketrueke 
Podrías inyectar dicho DOM usando Javascript, si ofuscas el código mejor, etc.
Pero al final siempre habrá una manera de "descubrir" las vía de ataque, en Firefox por ejemplo, seleccionas el DOM y das "Ver código fuente de la selección". ¡Bingo!
Además podríamos desactivar Javascript en el navegador y a ver que pasa.
Así que en definitiva nada es 100% seguro.
Si el código finalmente es "visible" en el navegador es cuestión de tiempo deducir la respuesta, si agregas seguridad en el servidor es menos probable que alguien te ataque, etc.
"Agragar segurida del lado del servidor" esconde dos soluciones posibles, de las cuales una, directamente no es sencillo para alguien que hostea y no tiene acceso a los "engranajes" del servidor. Pero, php?