Alors que les fichiers PHP sont exécutés et que le code source n'est donc pas visible depuis le Web, une mauvaise configuration accidentelle pourrait changer cela. Vous pouvez placer la configuration de la base de données dans un fichier séparé en dehors du répertoire racine des documents du serveur Web et utilisez le require de PHP commande pour l'inclure dans les autres scripts.
Cependant, selon la configuration PHP, les fichiers en dehors du docroot peuvent ne pas être accessibles aux scripts PHP, mais il existe des moyens de contourner cela. Cette question SO discute de ces questions en détail
