Parametre za bazu moras negde da drzis, najbolje u fajlu koji nije vidljiv na vebu.
Idealno je da samo veb korisnik (apache proces) moze da cita php fajlove... Naravno, ovo je problem za postavljanje i odrzavanje. Stoga vlasnik fajlova moze da pise i cita po njima, a cesto se postavlja i suexec na serverima (ili phpexec, ne secam se tacno reci)...
Mislim da zastitu treba postaviti prvenstveno na nivou php skripti, naravno i server mora biti zasticen, ali neki zaborave da zastite svoj kucni server gde cuvaju ftp parametre...