nadie puede ver el .php a menos que acceda al ftp, bueno ahi ya estas hackeado :)

hay muchas formas y metodos de ataques y creo que es imposible conocer todos y muchos menos prevenirse de todos.

yo tengo un sistema de permisos simple donde seteo las secciones que puede ver cada tipo de usuario, incluso el superadmin tiene reestricciones.
Entonces la única forma de acceder a una seccion es la siguiente:

<?
if(userTienePermisosDeSeccion("seccion a validar")){}
?>
donde userTienePermisosDeSeccion valida la session del usuario, el tipo y el permiso