Tant que le fichier sera analysé par PHP, il n'y a rien à craindre, et l'un n'est pas plus sécurisé que l'autre. Néanmoins, il y a aussi des aspects pratiques impliqués :si vous écrivez votre mysql_connect à plusieurs endroits et que vous avez décidé de déplacer votre base de données vers un autre hôte, ou que vous avez décidé de changer le mot de passe, ou si vous avez découvert que c'est absolument pas sûr de se connecter en utilisant le compte root (changez cela ;)), il est plus facile d'avoir la déclaration de connexion au même endroit.
De plus, si PHP n'analyse pas votre fichier, vous feriez mieux d'avoir ces fichiers critiques à l'extérieur du webroot, même pas accessible par Apache. C'est le moyen le plus sûr.
