In genere non e' pericoloso perche' i file PHP vengono interpretati dal server e non viene mai mostrato il loro codice sorgente. Ovviamente nulla e' sicuro, perche' se per qualche ragione il PHP non viene interpretato (ad esempio per una momentanea errata configurazione del server) allora si il codice appare in chiaro.

Anche in questo caso pero' il rischio e' limitato, perche' generalmente l'accesso al database e' consentito solo da alcune macchine (spesso la stessa su cui gira il webserver) quindi un utente in possesso delle credenziali ma senza accesso al server non ci puo' fare nulla.

Criptare non serve a nulla, perche' sposta solo il problema dalla password del database alla password necessaria per decriptare i dati che comunque deve essere accessibile all'applicazione (e quindi si ricade nello stesso problema).

La soluzione piu' sicura, benche' non sempre possibile, e' mettere i file che contengono dati sensibili fuori dalla document root in modo che non siano proprio accessibili tramite webserver in nessun modo.