(esto debería ser un comentario pero es un poco largo)
¿Puede alguien ver el contenido de mi archivo .htaccess
No podemos saberlo: depende de cómo esté configurado su sitio web. Tampoco especifica qué quiere decir con "cualquiera": si se ejecuta en un host web compartido con otros usuarios, es posible que también tengan acceso. En un sistema Unix, la cuenta raíz tendrá acceso ...
Se encuentran con un 403 prohibido
Luego, hay algo que impide que las personas accedan al archivo a través del servidor web. Las posibles protecciones que pueden estar en su lugar son ...
-
ubicación: el servidor web solo ofrecerá contenido de árboles de directorios configurados explícitamente. En su ejemplo, el archivo parece estar en el mismo lugar que el código. Dejando de lado una discusión de por qué es una muy mala idea, entonces si es relevante depende de si está ejecutando mod_php o php_fpm, y si el script que contiene el fragmento de código es un punto de entrada para la ejecución de PHP o si se incluye de otro script .
-
permisos del sistema de archivos: con php-fpm es bastante posible que PHP se ejecute como un uid diferente al servidor web
-
configuración específica en su servidor web: la mayoría proporciona un medio para excluir el acceso según la URL o el nombre del archivo (y, a menudo, permiten globs). Las configuraciones de Apache generalmente vienen con la configuración a continuación que impide el acceso a un archivo cuyo nombre comienza con '.ht' pero que no es aplicable a "passwords.htaccess".
<Files ~ "^\.ht">
Order allow,deny
Deny from all
Satisfy All
</Files>
(y eso es antes de que consideremos cualquier vulnerabilidad en el sitio / plataforma)
Aparte de sus resultados empíricos, no tenemos ninguna base para poder responder a su pregunta. Podemos decir que el método de protección que tiene implementado no parece ser portátil de ninguna manera.