问客户端可以查看服务器端的PHP源代码吗？

EN

不是的。除非你是在你实际使用它的地方向他们呼应。

使用包括来自www服务目录下或外部的内容。(还不能+1 ..对于Frankie)

不要在http目录中使用符号链接。我以前有意使用它来根据用户请求路径显示源代码和执行，但所需httpd.conf会发生变化(或配置错误)，可以在httpd.conf中显式禁用。

如果允许使用fopen下载文件，不要将用户创建的任何内容传递给它，否则他们可能会弄清楚如何让它抓取他们能找到的任何文件。考虑一下：

fopen('reports/' . $_GET['blah']);

其中用户传入'../index.php‘

不，但你应该采取一切措施来防止它。

你应该总是设置你的敏感代码(见鬼，为什么不是全部呢？)在你的服务器工作目录(比如/www)下面的一个目录中，如果服务器搞乱了，它将无法向世界展示你的代码，因为这些代码将包含在php中，而这些代码本来就不能工作。