Und Profi-Hacker werden schon wissen, wie sie meine
Versuche, PHP zu verbergen, umgehen können.
Das meinst Du, oder?

Naja. "Umgehen" hört sich etwas drastisch an. Wenn deine Seite nur irgendwie dynamischen Inhalt hat, man z.B. Kommentare verfassen kann, oder dass irgendwelche Formulare (die nicht mit JS laufen) exitieren, dann ist es ja offensichtlich, dass es sich nicht um simple htm-Seiten handelt.

Welche Technik verwendet wird, mag dann scho entwas schwieriger rauszufinden sein, (wenn du PHP gut versteckt hast), ist aber häufig für Angriffe auch garnicht wichtig. Und zur Not probiert man halt erstmal ASP-Schwachstellen anzugreifen, wenn das nicht klappt Perl, und wenn das auch nicht klappt halt PHP. Wenn du Pech hast, wars das dann. Aber nochmal: Die meisten Sicherheitsprobleme treten bei allen Programmiersprachen auf, SQL-Injection oder die Einschleusung von <script>-Tags kann man z.B. immer probieren.