1) gör filen endast tillgänglig för www-data.
2) använd aldrig ett användarnamn/pw-kombo som har mer rättigheter än vad som behövs (t.ex. inget beviljande, släpp, skapa etc, välj bara infoga)
3) gör att mysql endast accepterar anslutningar från 127.0.0.1
Om någon har tillgång till din box har du fler problem än att oroa dig för dina applikationers db-lösenord.