Лично аз съхранявам чувствителна информация, като данни за връзката с базата данни в config.ini файл извън корена на моята уеб папка. След това в моя index.php Мога да направя:
$config = parse_ini_file('../config.ini');
Това означава, че променливите не се виждат, ако вашият сървър случайно започне да извежда PHP скриптове като обикновен текст (което се е случвало преди, позорно за Facebook); и само PHP скриптове имат достъп до променливите.
Освен това не зависи от .htaccess в които няма непредвидени обстоятелства, ако вашият .htaccess файлът е преместен или унищожен.
Предупреждение, добавено на 14 февруари 2017 г.:Сега ще съхранявам конфигурационни параметри като този като променливи на средата. Не съм използвал .ini файл подход от известно време.