Entonces, si tengo la página php en un servidor con sólo acceso html via apache, por ejemplo, podría estar más o menos seguro, no?

Sólo si tuviera alguien acceso FTP o algo así al directorio del script correría peligro,no?
Deduzco entonces que Apache lee y "ejecuta" todo lo que envía al cliente?
Gracias. Todos estos conceptos son nuevos xa mi.