Hallo,

Die dritte Methode (Datenbank) hat das schlechteste Aufwand-Nutzen-Verhältnis. Und birgt die Gefahr, dass das Datenbank-Passwort dann ebenso schlecht abgelegt wird, wie gesehen.

ich habe auch schon Hoster gesehen, die für den Datenbankzugriff gar kein Passwort verlangen, weil aufgrund der geltenden Routing- und Firewall-Regeln der Zugriff sowieso nur von localhost kommen kann, und der darf ja immer.
Eine typische Schönwetterphilosophie.

Mein Favorit: „Verstecken von Passwörtern in einer Include-Datei, die außerhalb des Documentroot liegt“

Hört sich gut an. Selbst wenn durch irgendeinen abstrusen Serverfehler mal PHP-Code ungeparst rausgeht, ist das Passwort nicht gleich mit drin.

Einen schönen Tag noch
 Martin