-
Sim, você pode impedir que o SERVER liste os arquivos em uma pasta. Leia sobre os apaches mod_dir .
-
Talvez, se o seu servidor suportar PHP e ele estiver habilitado, ele não deverá exibir o código-fonte. Ele deve exibir o script PHP renderizado.
Além disso, gosto de usar AskApache como guia, mas o Google também salva vidas.