将它们存储在web根目录外的一个文件中。

如果谈论的是数据库密码，而不是来自浏览器的密码，标准的做法似乎是将数据库密码放在服务器上的PHP配置文件中。

您只需要确保包含密码的php文件具有适当的权限即可。也就是说，它应该是可读的只有web服务器和您的用户帐户。

只是把它放在配置文件的某个地方是通常完成的方式。只要确保你:

禁止从网络外的任何服务器访问数据库， 注意不要意外地向用户显示密码(在错误消息中，或通过PHP文件意外地作为HTML提供，等等)。

是否可以在存储凭据的同一文件中创建数据库连接。将凭据内联到connect语句中。

mysql_connect("localhost", "me", "mypass");

否则最好在connect语句之后取消设置凭据，因为不在内存中的凭据不能从内存中读取;)

include("/outside-webroot/db_settings.php");  
mysql_connect("localhost", $db_user, $db_pass);  
unset ($db_user, $db_pass);  

对于非常安全的系统，我们在配置文件中加密数据库密码(该文件本身由系统管理员保护)。在应用程序/服务器启动时，应用程序会提示系统管理员输入解密密钥。然后从配置文件中读取数据库密码，解密并存储在内存中以供将来使用。仍然不是100%安全，因为它存储在内存中解密，但你必须在某些时候称它“足够安全”!

将数据库密码放在一个文件中，使其对提供文件的用户只读。

除非您有某种方法只允许php服务器进程访问数据库，否则这几乎就是您所能做的全部工作。