Cita: si sé que no lo es ideal, pero no logro comprender como pueden ver el codigo php (scripts), "inyecten" código siempre seria el interpretado que es html
Si yo veo un nombre de un script.php tuyo cualquier y lo llamo atraves de un navegador cualquiera por una llamada HTTP:
http://www.tusitio.tal/nose/archivo.php
Ahí en mi "navegador" (cliente) veré lo que la ejecución de ese script dé como resultado y entregue como salida .. sea "nada" o lo que haga. En ningún caso el código "PHP"
Cita: pq show_source solo funcionaria si estuviera dentro de mi servidor
Si, sólo de los archivos locales de ese servidor si no se aplican otras restricciones dentro del mismo servidor. Y no sólo con esa función .. también con cualquier otra tipo: fopen(), file() .. include() .. Aquí lo que "manda" es la llamada que haces al archivo; si es por ruta "absoluta" (c:\nose\tal o /var/www/sitio.com/public_html/ ...) o por HTTP (
http://....)
Por eso mismo mi comentario (que no sé si te lió más o no entendistes) hace referencia a "servidores virtuales" y servidores compartidos (por más usuarios y sitios que maneje el mismo servidor).
Imagina que tu tienes el sitio nose.com .. yo tengo el otro.com .. ambos albergamos nuestros sitios con el mismo proveedor y nos dá este el mismo servidor: tú físicamente en ese servidor estás en: /var/www/nose.com/public_html y yo al lado en /var/www/otro.com/public_html .. Según lo que describí en el anterior mensaje .. podría probar a tomar archivos de tu "nose.com" indicando rutas "absolutas" .. pero las de tu sitio . .no el mio usando desde scripts.php ubicados en otro.com (hablo de que somos usuarios del mismo servidor) con funciones tipo file() .. fopen() .. show_source() .. include() ..
(por cierto .. con "fopen()" simplemente o con cualquier función que "abra" o lea un archivo puedo ver el código .. lo que no lo veré es "coloreado" en la página HTML si es que así lo muestro como hace la función show_source() o equivalente).
Un saludo,