а там переменные окружения!
тогда придётся  вламываться с исполнением кода

короче все должно начинаться с модели угроз, оценки рисков и т.д. тут важны не только меры на уровне приложения, но и организационные. например, если у вас секретарша пароль от почты на монитор клеит, то это может быть куда важнее, чем исходный код на сервере.

единственная аргументация для обфускации — это отправка кода на лицензирование или анализ. там есть какие-то заморочки из-за того что php скриптовый язык и не одним файлом поставляется. но это отдельный разговор, я решения такого кейса так на практике и не увидел

а там переменные окружения!
тогда придётся  вламываться с исполнением кода

ну и потом как вообще код-то может быть скомпрометирован? в репозитории он лежит исходно, там всё понятно, надо репо защищать. а на проде как? я к тому, что если к тебе зашли на сервер и увидели файлики, то последнее что они будут делать, это классики на php изучать. первым делом найдут твой config/db.php и пойдут в бд

Кстати говоря кто и чем сейчас защищает код на php ??
От копирования  и т.д.

Нельзя ли просто закрыть сервер для всех, кроме определенных людей?

бизнес много чего считает) только потом выяснится, что ты там в sql без плейсхолдера инжетишь в одном месте или файервол в симфони неверно сконфигурил в ямлике и это обернется реальной проблемой. например, утечкой данных, которые можно продать. а код на пхп никому не нужен, уж поверь мне. поэтому я бы силы бросил на анализ более реальных векторов атак

Не давать свой код другим, предоставляя SaaS решение

Вектор атаки у тебя сервис который собирает кучу данных с API и сводит в таблицы и т.д. все это на php ))
База не важна особо все данные с открытых источников.
Если код крадут, то сервис такой открыть никакого труда

Так и шо переживать, без ключа никтож не зайдет

Нет такой возможности ....

Любую систему проще всего взломать через человека. Городить бастионы зачастую нет смысла вообще

это верно. но даже если не через человека, то точно не через необфусцированный код.

подтверждает этот факт то, что несмотря на обилие php проектов инструментов нормальных под это дело нет. если бы все обфусцировали пых, уже давно бы умели неймспейсы в аннотациях обрабатывать. потому что они сейчас в каждом втором проекте есть

PHP-Дайджест № 195 (14 – 28 декабря 2020) / Хабр
https://habr.com/ru/post/535308/

Ну по факту я смогу развернуть такой же сервис теоретически.
Потом отрефакторю с трейтами )

ну, как вариант когда фрилансишь, то перед деплоем на сервер клиента - обфускация или как оно... вдруг типа клиент не заплатит