Die Datenbank-Zugangsdaten zu hashen ist aber ggf. eine schlechte Idee :) diese sollen natürlich im Klartext vorliegen :)

OK, aber der Vergleich kann mit SH1 erfolgen oder spricht was dagegen?

Folgendes würde ich beachten;

• das Konfigurationsfile sollte außerhalb des Wurzelverzeichnisses des Webs liegen

Ich bin nicht der Server-Admin, daher keine Ahnung.

• der Datenbank-Server sollte nur Verbindungen von localhost (oder wenn es ein eigener Server ist) vom Webserver annehmen.

Es ist kein Webservice zwischengeschaltet, also müsste ich die SQL-Statements direkt aus dem PHP starten.

• der Produktiv-Datenbank-Benutzer (also jener mit dem der Webserver bzw. das Script arbeitet) hat nur die nötigen Rechte.

Das was ich entwikle braucht nur Leserechte auf der DB.