将它们存储在web根目录外的一个文件中。

有些人把这个问题误解为如何在数据库中存储密码。这是错误的。它是关于如何存储密码，让您进入数据库。

通常的解决方案是将密码从源代码移到配置文件中。然后，将管理和保护配置文件的工作交给系统管理员。这样，开发人员就不需要知道任何关于产品密码的信息，并且在源代码控制中也没有密码记录。

最安全的方法是在PHP代码中完全不指定这些信息。

如果你使用Apache，这意味着在httpd.conf或虚拟主机文件中设置连接细节。如果你这样做，你可以不带参数地调用mysql_connect()，这意味着PHP永远不会输出你的信息。

这是你在这些文件中指定这些值的方法:

php_value mysql.default.user      myusername
php_value mysql.default.password  mypassword
php_value mysql.default.host      server

然后像这样打开mysql连接:

<?php
$db = mysqli_connect();

或者像这样:

<?php
$db = mysqli_connect(ini_get("mysql.default.user"),
                     ini_get("mysql.default.password"),
                     ini_get("mysql.default.host"));

一个额外的技巧是使用一个PHP单独的配置文件，如下所示:

<?php exit() ?>

[...]

Plain text data including password

这并不妨碍您正确地设置访问规则。但如果你的网站被黑客攻击，“要求”或“包括”将在第一行退出脚本，因此更难获得数据。

然而，不要让配置文件在可以通过web访问的目录中。你应该有一个“Web”文件夹，包含你的控制器代码，css，图片和js。这是所有。其他的都放在脱机文件夹中。

如果你在别人的服务器上托管，在你的webroot之外没有访问权限，你可以把你的密码和/或数据库连接放在一个文件中，然后使用.htaccess锁定文件:

<files mypasswdfile>
order allow,deny
deny from all
</files>

是否可以在存储凭据的同一文件中创建数据库连接。将凭据内联到connect语句中。

mysql_connect("localhost", "me", "mypass");

否则最好在connect语句之后取消设置凭据，因为不在内存中的凭据不能从内存中读取;)

include("/outside-webroot/db_settings.php");  
mysql_connect("localhost", $db_user, $db_pass);  
unset ($db_user, $db_pass);