Usa una cartella non accedibile dal web, o proteggi la cartella con un .htaccess, oppure ti metti la mano sul cuore e ti fidi della cartella di default di php, evitando di salvare dati sensibili in chiaro, come la password ad esempio