C'est une mesure préventive. Si quelqu'un désactive accidentellement l'évaluation php sur votre serveur apache ou modifie un paramètre apache dans un fichier .htaccess, le fichier peut être servi comme n'importe quel fichier texte brut. Ou, si vous oubliez accidentellement une balise de début php, elle sera restituée comme du texte brut. Non pas que vous feriez une erreur aussi stupide, mais peut-être qu'un futur débutant travaillant sur votre code pourrait faire une erreur.
Pourquoi laisser un vecteur possible ouvert alors que vous pouvez l'empêcher d'être possible ? Suivez simplement les conseils d'autres personnes qui ont tiré sur leur propre pied (ou comme moi, qui ont tiré sur les deux pieds et une main) et déplacez les informations d'identification en dehors de votre docroot.
