leí que si un archivo *.php esta ofuscado al querer aprovechar una bulnerabilidad en él se hace imposible ya que la injección sql o el exploit no encontrarán las cosas ordenadas y con sus nombres originales...

(Me gustaría ver la fuente oficial de ese artículo) .. En principio no tiene nada que ver el hecho de "ofuscar": complicar la lectura del código para un "humano" que otros problemas própios de nuestra programación como el "SQL injection" y otro tipo de errores en la programación similares.

"Ofuscar" como ya se ha comentado en este mismo tema .. se trata de "ponerte dificil" la lectura del código: juntando todo el código en una línea .. sustituyendo nombres de variables originales por nombres ilegibles y dificiles de seguir el código .. etc.

Ofuscar código o incluso "psudo-compilarlo" (como hacen los Motores descritos como Zend Safeguard, PHP encoder .. etc. NO aumentan la seguridad de tu aplicación. Si está "mal programada" será igual de insegura sea como sea que lo ejecutas.

Si a "seguridad" cuando usas algún ofuscador o similar te refieres a que "al no ver su código fuente legible" vas a ver más fácilmente algunos errores de programación .. OK .. por supuesto que no lo vas a ver así de facil .. Pero las "pruebas" de seguridad justamente no pasan por "ver su código" sino por ejecutar ciertas pruebas para ver como responde tu código: injectar SQL en un campo de tu aplicación (formulario) que pidas datos .. alterando el URL .. etc .. etc.

Un saludo,