Cita:
Iniciado por Patriarka 
nadie puede ver el .php a menos que acceda al ftp, bueno ahi ya estas hackeado :)
hay muchas formas y metodos de ataques y creo que es imposible conocer todos y muchos menos prevenirse de todos.
yo tengo un sistema de permisos simple donde seteo las secciones que puede ver cada tipo de usuario, incluso el superadmin tiene reestricciones.
Entonces la única forma de acceder a una seccion es la siguiente:
<?
if(userTienePermisosDeSeccion("seccion a validar")){}
?>
donde userTienePermisosDeSeccion valida la session del usuario, el tipo y el permiso
Si que se puede, si se copia el enlace de la ruta al archivo, ves todo el codigo , ejemplo : carpetaUno/ejemplo.php
y la ruta se puede sacar facilmente con cualquier herramienta de desarrollador, por ejemplo en chrome si te pones a ver las llamadas a los scripts de php te sacas todas las rutas.