Во-первых, пользователь не получит файл .php, как вы видите его на сервере (если у вас есть PHP-сервер). Он будет разобран, и что останется, это простой HTML. Таким образом, ваш пользователь не увидит SQL-запросы и т. Д.
Но то, что вы пытаетесь сделать, невозможно. Это не то, как работает HTML. То, что вы видите, когда вы нажимаете «показать исходный код», - это именно то, что браузер использует для отображения страницы. Поэтому, если вы не получите значение src для своего iFrame, браузер не сможет правильно его показать