Hoewel PHP-bestanden worden uitgevoerd en de broncode dus niet zichtbaar is vanaf het web, kan een onbedoelde verkeerde configuratie dit veranderen. U kunt de DB-configuratie in een apart bestand buiten de documenthoofdmap van de wbeserver plaatsen en gebruik PHP's require commando om het in de andere scripts op te nemen.
Afhankelijk van de PHP-configuratie zijn bestanden buiten de docroot mogelijk niet toegankelijk voor PHP-scripts, maar er zijn manieren om dit te omzeilen. Deze SO-vraag bespreekt deze problemen in detail