Ciao,
se le query vengono eseguite da PHP e user/pass si trovano sul lato Php non hai problemi di alcun tipo.
Basta che tu tenga presente che non devi far stampare a PHP dati più riservati di quelli che gli faresti stampare se stessi costruendo una qualunque pagina HTML.
Se di una pagina HTML si vede il sorgente di solito non ti preoccupi no?