Pessoalmente, armazeno informações confidenciais, como detalhes de conexão de banco de dados, em um config.ini arquivo fora da raiz da minha pasta da web. Então no meu index.php Eu posso fazer:
$config = parse_ini_file('../config.ini');
Isso significa que as variáveis não são visíveis se o seu servidor acidentalmente iniciar a saída de scripts PHP como texto simples (o que já aconteceu antes, infame no Facebook); e apenas scripts PHP têm acesso às variáveis.
Também não depende de .htaccess em que não há contingência se seu .htaccess arquivo é movido ou destruído.
Aviso, adicionado em 14 de fevereiro de 2017:agora armazenarei parâmetros de configuração como este como variáveis de ambiente. Eu não usei o .ini abordagem de arquivo há algum tempo.
