Se il web server è configurato correttamente, il sorgente dei file PHP non dovrebbe essere accessibile. Ad essere un po' paranoici puoi salvare il file con i dati di connessione fuori dalla document root, oppure, nel caso non fosse possibile, in una directory ad accesso negato tramite .haccess, etc.