Du musst sie nicht verstecken. Du musst zuerst die Passworte richtigen Salzen und einen Hash desselben speichern.

Die Datenbank-Zugangsdaten zu hashen ist aber ggf. eine schlechte Idee :) diese sollen natürlich im Klartext vorliegen :)

Folgendes würde ich beachten;

• das Konfigurationsfile sollte außerhalb des Wurzelverzeichnisses des Webs liegen
• der Datenbank-Server sollte nur Verbindungen von localhost (oder wenn es ein eigener Server ist) vom Webserver annehmen.
• der Produktiv-Datenbank-Benutzer (also jener mit dem der Webserver bzw. das Script arbeitet) hat nur die nötigen Rechte.
  -- GRANT, ALTER oder DROP wird dieser vermutlich nicht benötigen.