Base64 ist auch mist, aber man kann ohne probleme mit AES arbeiten, ab 256-bit verschlüssung gestaltet sich das schon sehr haarig das wieder zu entziffern und wie du schon richtig sagtest ist PHP weder im Quelltext sichtbar noch kann man PHP zurück verfolgen, auch mit speziellen browsern ist das unmöglich, das einzigste was man auslesen kann sind die $_POST und $_GET konstanten. Die GET konstante ist sowieso sichtbar, die POST wird ja vom Browser verschickt.
_________________________
.:|Forengrundsatz!|:. Lesen, denken, posten!