Debe colocar las credenciales de su base de datos en un archivo fuera de la raíz del documento, de modo que si algo falla y su PHP se muestra a los usuarios sin analizar, nadie podrá ver su contraseña.
Eche un vistazo a este artículo sobre el tema
este artículo sobre el tema
: