Да, действительно, в силу специфики языка, программные продукты, разработанные на PHP, поставляются в открытом исходном коде, что делает их беззащитными перед процессами реверсивной инженерии, целью которых является обход защиты программной системы, раскрытие секретных данных, плагиат, раскрытие бизнес-логики и т.д. В настоящее время, среди технических методов защиты программного кода (с позиции интеллектуальной собственности), которые можно было бы применить к разработкам на PHP можно отнести следующие методы:

- водяной знак (software watermark);
- установка подлинности кода (trusted native code);
- шифрование программного кода (encryption);
- обфускация программного кода (obfuscation).

Использование водяных знаков, основано на записи в код программы скрытой информации, которая позволяет истинному автору программы доказать то, что она является именно его интеллектуальной собственностью (обычно использование водяных знаков не ограничивается только этим). Также для увеличения эффективности водяного знака, его можно записать более чем один раз, в различных местах программы.

Установка подлинности кода (trusted native code). В данном случае, в программу помещается процедура проверки целостности самой программы, что позволяет определить была ли программа изменена (были ли внесены какие-то либо изменения в ее код). Если эта процедура обнаруживает, что в программу внесены изменения, она блокирует работу программы. Данные меры позволяют защитить программный продукт, от изменений со стороны злоумышленника.

Шифрование программного кода (encryption). Используется, для того чтобы предотвратить вмешательство в программу, а также усложнить изучение взломщиком того, как устроена и функционирует программа, каким образом в ней реализован метод защиты и т.д. Данный метод защиты предусматривает зашифровывание кода программы, после чего она в зашифрованном виде поставляется конечным пользователям (иногда эффективно подвергать шифрованию только наиболее важные, критические, участки кода, а не весь код программы). Когда пользователь запускает такую программу, предварительно будет запущена процедура расшифровки программы.

Обфускация ("obfuscation" - запутывание) – это один из технических методов защиты программного кода, который позволяет усложнить процесс реверсивной инженерии кода защищаемого программного продукта. Суть процесса обфускации заключается в том, чтобы запутать программный код и устранить большинство логических связей в нем, то есть трансформировать его так, чтобы он был очень труден для изучения и модификации посторонними лицами.

Таким образом, вы можете выбрать сразу несколько методов и тем самым комплексно защитите ваш продукт. И если первые два метода имеет смысл реализовать самостоятельно, то, например, для шифрования кода рекомендуется применить Zend Guard (ранее назывался Zend Encoder) в связке с Zend Optimizer. Это комплексное решение само по-себе, довольно давно разработано и непрерывно развивается. Помимо этого, позволяет несколько ускорить работу приложения. Напомню, что PHP - интерпретируемый язык и его работа строится следующим образом:

- сначала осуществляется лексический анализ исходного кода сценария и генерация лексем;
- далее идет синтаксический анализ полученных лексем;
- затем генерация байт-кода;
- и в итоге выполнение байт-кода интерпретатором (без создания исполняемого файла).

А принцип работы Zend Encoder заключается в том, что он позволяет зашифровать скрипт в уже готовый байт-код, исключающий возможность его отредактировать.

Что касается вопроса обфускации, то  на текущий момент теория обфускации развита слабо, и эффективные системы обфускации сейчас можно встретить только для Java и .NET программ. Имеющиеся PHP-обфускаторы применяют, как правило, только примитивные лексические методы обфускации (переименование переменных, удаление комментариев и форматирования кода), при этом не всегда успешно. Безусловно, они эффективны и затрудняют восприятие кода человеком, однако против опытных злоумышленников с их арсеналом инструментов и подходов они бессильны.