Si Apache está configurado para analizar PHP y no permite indexar archivos, ¿hay otras formas en que los usuarios puedan ver el código fuente de PHP, ya sea con o sin intención?
Si Apache está configurado correctamente con el módulo php cargado y los tipos de mime correctos, debe esperar que no se divulgue ningún código al cliente.
Ejemplo:
AddModule mod_php.c
LoadModule php_module modules/mod_php.so
LoadModule php5_module modules/libphp5.so
AddType application/x-httpd-php .php
Parece que no hay ningún ataque contra tipos mime en apache que pueda romper este comportamiento que conozco. Debería preocuparse más por las malas prácticas de codificación y divulgar el código fuente a través de otros medios, como ataque de inclusión de archivos.
PHP tiene una extensión .phps que embellece el código fuente para compartir. Si usa estos archivos, asegúrese de eliminarlos de cualquier nombre de usuario y contraseña antes de compartirlos. Es posible que un archivo tenga un nombre incorrecto .phps en lugar de .php, es poco probable, pero es posible.
Este es un ejemplo de un caso en el que los piratas informáticos utilizan la vulnerabilidad de inclusión de archivos para revelar el código fuente de PHP. Si no se configura correctamente, incluso puede provocar una vulnerabilidad de ejecución remota de código.
ataque de seguridad de PHP: ¿muestra el contenido del archivo PHP remoto?
Lea otras preguntas en las etiquetas source-code apache php