As práticas comuns para esse problema incluem colocar as credenciais do banco de dados em um arquivo de configuração que não seja PHP, como um arquivo .ini, e depois lê-lo com PHP. Para adicionar segurança extra, você também deve colocar o arquivo de configuração fora da raiz da web, para ter certeza de que ninguém pode acessar o arquivo navegando diretamente para ele.

Por exemplo, o framework Laravel (entre outros) define a raiz da web no diretório /public, enquanto fora desse diretório está um .env arquivo contendo credenciais de banco de dados entre outras configurações.

Dê uma olhada aqui para mais informações:Como proteger senhas de banco de dados em PHP?

Mais importante, porém, você nunca deve se preocupar com seu PHP sendo servido como texto simples. Tome as devidas precauções de desenvolvimento para garantir que isso nunca aconteça. Alguns pontos de partida são:

• Certificando-se de ter o PHP instalado!
• Certifique-se de abrir e fechar suas tags corretamente
• Certifique-se de que sua extensão de arquivo seja .php e não .html (a menos que você use este trabalho em torno )
• Verifique também no código de produção que você não está exibindo erros na página (display_errors ini)