P1:su contraseña de MySQL y otras configuraciones específicas de la aplicación deben almacenarse en un archivo separado fuera de su webroot. Puede sacarlo de webroot directamente o restringirlo a través de .htaccess. Puede incluir el archivo o leerlo siempre que conozca la ruta.
P2:los archivos binarios también deben almacenarse fuera de webroot. La forma ideal de servirlos sería tenerlos descargables a través de un archivo PHP. De esta manera, puede realizar la autenticación antes de que se sirva el archivo y puede hacer que los enlaces sean temporales para que los usuarios no puedan compartirlo con otras personas
P3:si usa el método anterior, no necesita almacenarlo como BLOB en MySQL
Q4 - Realmente no me he encontrado con nada que lo haga y sea una biblioteca/secuencia de comandos autónoma. Sin embargo, servirlos a través de los encabezados correctos no debería ser demasiado difícil.
