Grazie k.b.
In effetti mi pare poco robusto come sicurezza. Come dici tu se il servizio PHP va giù o viene fatto andare giù di proposito, viene proposto il download del file php.
E' anche vero che non si ha accesso al server che ospita un sito per esempio e quindi è comunque impossibile accedere ai dati, ma conoscendo l'indirizzo ip del server e la porta con i dati di accesso al database è possibile fare delle interrogazioni.Credo

Non esiste proprio nessuna tecnica oltre a spostare fuori dall document root file con i dati?

Grazie
Mat