最安全的方法是在PHP代码中完全不指定这些信息。

如果你使用Apache，这意味着在httpd.conf或虚拟主机文件中设置连接细节。如果你这样做，你可以不带参数地调用mysql_connect()，这意味着PHP永远不会输出你的信息。

这是你在这些文件中指定这些值的方法:

php_value mysql.default.user      myusername
php_value mysql.default.password  mypassword
php_value mysql.default.host      server

然后像这样打开mysql连接:

<?php
$db = mysqli_connect();

或者像这样:

<?php
$db = mysqli_connect(ini_get("mysql.default.user"),
                     ini_get("mysql.default.password"),
                     ini_get("mysql.default.host"));

将它们存储在web根目录外的一个文件中。

只是把它放在配置文件的某个地方是通常完成的方式。只要确保你:

禁止从网络外的任何服务器访问数据库， 注意不要意外地向用户显示密码(在错误消息中，或通过PHP文件意外地作为HTML提供，等等)。

将数据库密码放在一个文件中，使其对提供文件的用户只读。

除非您有某种方法只允许php服务器进程访问数据库，否则这几乎就是您所能做的全部工作。

最好的办法是根本不存储密码! 例如，如果您在Windows系统上，并连接到SQL Server，则可以使用集成身份验证来使用当前进程的标识连接到数据库，而不需要密码。

如果您确实需要使用密码连接，首先对其进行加密，使用强加密(例如使用AES-256，然后保护加密密钥，或使用非对称加密并让操作系统保护证书)，然后将其存储在具有强acl的配置文件中(在web目录之外)。

我们是这样解决的:

Use memcache on server, with open connection from other password server. Save to memcache the password (or even all the password.php file encrypted) plus the decrypt key. The web site, calls the memcache key holding the password file passphrase and decrypt in memory all the passwords. The password server send a new encrypted password file every 5 minutes. If you using encrypted password.php on your project, you put an audit, that check if this file was touched externally - or viewed. When this happens, you automatically can clean the memory, as well as close the server for access.