bueno, en efecto, no puedes ver directamente el código de php si lo haces desde una petición HTTP cualquiera, no quiero ser ave de mal agüero, pero existen otras vulnerabilidades que pueden comprometer no sólo en código, sino la seguridad de los usuarios, entre ellas:

registers globals activo
SQL Inyection
CSRF
XSS
RFI
no cambiar con periodicidad la clave del FTP

entre otras, son temas se seguridad ampliamente discutidos y de los cuales existen diversas soluciones, y no todos atañen sólo a PHP sino a otros lenguajes, tenerlos en cuenta para desarrollar sitios seguros