• Pratiquez une bonne sécurité générale des mots de passe (n'utilisez pas de mots du dictionnaire, etc.)
• Il est recommandé de nommer le fichier avec une extension .php, comme vous l'avez fait, car il est peu probable que le serveur Web soit amené à diffuser le fichier en texte brut.
• Assurez-vous que config.php est stocké en dehors de la racine Web. Cela signifie que si quelque chose se passait mal avec la configuration de votre serveur et qu'il commençait à servir des fichiers PHP en clair, vous ne divulgueriez pas le mot de passe de votre base de données (car personne ne pourrait demander config.php).
• Assurez-vous que les informations d'identification de la base de données sont des constantes nommées de manière appropriée, plutôt que des variables. Cela rend moins probable que vous les utilisiez de manière inappropriée (par exemple, si le mot de passe était $password plutôt que DB_PASSWORD vous pourriez faire quelque chose avec le $password variable dans la portée globale, oubliant qu'elle est en cours d'utilisation - peu probable, mais une petite possibilité).