Ну вытащить PHP-код всегда можно. Было бы желание. Немного желания. Вопрос в другом - кому и зачем это может понадобиться. Составь список для себя в голове. мегакуллхацкеров с никами "бэтмен", "киллер-убийца" и прочих Черных Плащей можешь в расчет не брать. Они даже не знают, что такое Хэш, не говоря о том, как им воспользоваться.
Реально оцени ситуацию, кто и зачем может попробовать взломать.
После того, как сделаешь это - воспользуйся нормальными методами защиты - с шифрованием БД, https соединением и прочим. Тоже не панацея, но хотя бы как-то. Если ресурс серьезный и его взлом чреват по настоящему серьезными проблемами, подключи TACACS+ сервер для аутентификации и авторизации, не забывай об https с последней версией SSL и возможно даже стоит настроить VPN. Т.е. по VPN подключаешься к серверу, оттуда со всем этим https и TACACS подключаешься уже к сайту.
И впредь никогда не задавайся подобными вопросами. Максимальная паранойя в сфере ИТ безопасности - одна и проф.деформаций хорошего админа, позволяющая ему получать хорошие деньги, а ему и руководству - спать спокойно.