• Practicar una buena seguridad general de contraseñas (no usar palabras de diccionario, etc.)
• Es una buena práctica nombrar el archivo con una extensión .php, como lo ha hecho, porque entonces es poco probable que se engañe al servidor web para que sirva el archivo como texto sin formato.
• Asegúrese de que config.php esté almacenado fuera de la raíz web. Eso significa que si algo saliera mal con la configuración de su servidor y comenzara a servir archivos PHP como texto sin formato, no perdería la contraseña de su base de datos (porque nadie podría solicitar config.php).
• Asegúrese de que las credenciales de la base de datos sean constantes con nombres apropiados, en lugar de variables. Esto hace que sea menos probable que de alguna manera los use de manera inapropiada (por ejemplo, si la contraseña era $password en lugar de DB_PASSWORD podrías hacer algo con $password variable en el alcance global, olvidando que está en uso - poco probable, pero una pequeña posibilidad).