In der config.inc.php sind dann die Passwörter.

Inhalt von config.inc.php:
<?php
$mysqlpw = passwort;
$mysqluser = user;
...
?>

Aber sind die dort auch sicher, vor fremde Personen?

Das kommt darauf an, welchen Hoster Du hast. Bei den meisten kleinen Hostern kann jeder andere Kunde dieses Hosters auf Deine Dateien lesend zugreifen (mit Trick 17).

Jemand könnte ja einfach schreiben:

<?php
include("http://www.meineurl.de/config.inc.php");
echo $passwort;
?>

PHP-Skripte verlassen niemals den Server, nur das, was diese Skripte ausgeben. Das gilt für Zugriffe vom Browser genauso wie für Zugriffe durch PHP; Deine config.inc.php macht da keine Ausnahme. Probier' es in Deinem Browser mal aus.

Tödlich wäre lediglich, wenn Du Deine Dateien nach dem Schema config.inc benennst, da diese mangels .php-Endung nicht vom Server durch den PHP-Interpreter gejagt, sondern (in der Regel) als einfache Textdateien ausgeliefert werden.

Gruß,
  soenk.e