Mi è venuto un dubbio....

Io ho hosting linux su xxxxx + mysql.

Se un utente si vuole registrare al mio sito, compila il form,e lo script php inserisce i dati nel db.

Lo script per accedere al db ha bisogno di username e password che mi ha fornito xxxxx, io le ho inserite in un file php, che richiamo tramite include() quando c'è bisogno di connetersi al db.

Ma è possibile che qualche malintezionato riesca a prenderle?
Come posso proteggermi?