Personligen lagrar jag känslig information som databasanslutningsdetaljer i en config.ini fil utanför min webbmapps rot. Sedan i min index.php Jag kan göra:
$config = parse_ini_file('../config.ini');
Detta innebär att variabler inte är synliga om din server av misstag börjar mata ut PHP-skript som vanlig text (vilket har hänt tidigare, ökänt för Facebook); och endast PHP-skript har tillgång till variablerna.
Det är inte heller beroende av .htaccess där det inte finns någon oförutsättning om din .htaccess filen flyttas eller förstörs.
Varning, tillagd 14 februari 2017:Jag kommer nu att lagra konfigurationsparametrar som denna som miljövariabler. Jag har inte använt .ini filmetod sedan en tid tillbaka.