Enquanto os arquivos PHP são executados e, portanto, o código-fonte não é visível na web, uma configuração incorreta acidental pode alterar isso. Você pode colocar a configuração do banco de dados em um arquivo separado fora do diretório raiz de documentos do wbeserver e use o require do PHP comando para incluí-lo nos outros scripts.

No entanto, dependendo da configuração do PHP, os arquivos fora da docroot podem não estar acessíveis aos scripts PHP, mas existem maneiras de contornar isso. Esta pergunta SO discute essas questões em detalhes