Si bien los archivos PHP se ejecutan y, por lo tanto, el código fuente no es visible desde la web, una mala configuración accidental podría cambiar esto. Puede colocar la configuración de la base de datos en un archivo separado fuera del directorio raíz del documento del servidor wbe y usa PHP require comando para incluirlo en los otros scripts.
Sin embargo, dependiendo de la configuración de PHP, es posible que los scripts de PHP no puedan acceder a los archivos fuera de docroot, pero hay formas de evitarlo. Esta pregunta SO analiza estos temas en detalle
