Merhabalar,
Php dosyaları doğrudan client tarafına gösterilmezler içerisindeki kodlar web sunucunuz tarafından yorumlanarak client tarafındakş browserların anlayabileceği şekilde çıktılar sunarlar. Php dosyalarının saldırganlar tarafından indirilebilmesi için sunucunuza root yetkileri ile erişilmesi gerekmektedir. Yeterli güvenlik önlemleri alınmazsa sunucunuza saldırgan tarafından sızılabilir tüm dosyalarınız veritabanlarınız kolaylıkla elde edilebilir siteniz paylaşımlı bir sunucuda bulunuyorsa ve bu sunucu üzerindeki siteler yeterli izolasyona sahip değilse bu siteler de hacklenebilir hepsi bir açık kapı bırakmanıza bağlı :)
Cevabınız için teşekkürler.