Persönlich speichere ich sensible Informationen wie Datenbankverbindungsdetails in einer config.ini Datei außerhalb des Stammverzeichnisses meines Webordners. Dann in meiner index.php Ich kann:
$config = parse_ini_file('../config.ini');
Das bedeutet, dass Variablen nicht sichtbar sind, wenn Ihr Server versehentlich anfängt, PHP-Skripte als Klartext auszugeben (was Facebook schon früher passiert ist). und nur PHP-Skripte haben Zugriff auf die Variablen.
Es ist auch nicht auf .htaccess angewiesen in dem es keine Eventualitäten gibt, wenn Ihr .htaccess Datei wird verschoben oder zerstört.
Vorbehalt, hinzugefügt am 14. Februar 2017:Ich speichere jetzt Konfigurationsparameter wie diesen als Umgebungsvariablen. Ich habe die .ini nicht verwendet Dateiansatz seit einiger Zeit.