Zolang het bestand door PHP wordt geparseerd, is er niets aan de hand, en het ene is niet veiliger dan het andere. Desalniettemin is er ook een praktisch aspect:als u uw mysql_connect op meer dan één plaats schrijft en u hebt besloten uw database naar een andere host te verplaatsen, of u hebt besloten het wachtwoord te wijzigen, of als u ontdekt dat het is absoluut onveilig om verbinding te maken met het root-account (wijzig dat;)), het is gemakkelijker om de verbindingsverklaring op één plek te hebben.
En als PHP je bestand niet aan het parseren is, kun je die kritieke bestanden beter buiten hebben. van de webroot, zelfs niet toegankelijk voor Apache. Dat is de veiligste manier.