EC2とRDSを同VPCで作成しました。

セキュリティグループは各自異なっていて
EC2は80に全てアクセス化、22にMyIPアドレスのみ。
RDSはVPCのアドレス10.0.0.1/24のみにアクセス化。
にしました。これで私のデータベースに接続できるのは同VPS間のみなので、極めて安全でしょうか?

NGINX側ではlocation / ~ ¥.php$のみAllow myIP、Deny Allにしました。PHPで生成されたHTMLのみをアクセス可能にしています。この場合、Nginxのエラーログに無いはずの/phpmyadmin/とかに不正アクセスが多発していますが当然アクセス拒否されるので極めて安全でしょうか?

データベースへの接続はMysqlWorkBenchとPHP-PDOにしています。WorkbenchはSSHを通さないといけないのでpemキーなどで制御されるのと、PDOはhttp://hoge.phpのような感じでアクセスできますがPHPファイルへは自分のIPアドレスだけが接続できるので極めて安全ですか?
リバースプロキシ関係で謝ってPHPファイルをキャッシュしてしまいなんてことはありませんか?