No existe una "manera segura". De una forma u otra, la contraseña deberá descifrarse/no ofuscarse para que pueda enviarse a la biblioteca de base de datos para establecer la conexión.
En el mejor de los casos, almacene la información de inicio de sesión en un archivo FUERA de la raíz del documento de su sitio. Esto no es una panacea, pero al menos si la configuración de su servidor se rompe y comienza a servir la fuente php en lugar de ejecutarse, no permitirá que sus credenciales se filtren, porque no se podrá acceder directamente al archivo.
