Hi!

Angenommen  ich hab das auf einem eigenen Server laufen, zunächst mal die TestDB löschen, die Rechte alle sehr streng verteilen, und alle Scripte(phpmyadmin, Verbindungsdaten) mit .htaccess sichern.
Erstmal noch die Frage, warum nennen viele Leute include-Dateien als .inc?? Ist es nicht sicherer als .php, das kann sich ja keiner anzeigen lassen, solange er nicht auf den Server kommt.

Die Endung .inc benötigst Du vor allem, wenn Du Scripte von einem anderen Server über HTTP includen willst. Mit .php-Endung bekommst Du die Scripte da nur geparst und nicht im Urzustand.
Außerdem sollten Include-Dateien nicht selbst ausgeführt werden können. Viele legen Include-Files deswegen außerhalb des DocumentRoot-Verzeichnisses des Webservers ab.