Siempre que PHP analice el archivo, no hay nada de qué preocuparse, y uno no es más seguro que el otro. No obstante, también hay practicidad involucrada:si escribe su mysql_connect en más de un lugar y ha decidido mover su base de datos a otro host, o si ha decidido cambiar la contraseña, o si descubre que es absolutamente inseguro para conectarse usando la cuenta raíz (cambie eso;)), es más fácil tener la declaración de conexión en un solo lugar.
Además, si PHP no está analizando su archivo, es mejor que tenga esos archivos críticos afuera del webroot, ni siquiera accesible por Apache. Esa es la forma más segura.
