Det bästa sättet att hantera detta är att ha dina referenser lagrade i miljövariabler. Du kommer då åt dina referenser så här:
var mysql = require('mysql');
var connection = mysql.createConnection({
host : process.env.DB_HOST,
user : process.env.DB_USER,
password : process.env.DB_PASS,
database : process.env.DB_NAME
});
connection.connect();
Då skulle du använda ett bibliotek som dotenv för att ställa in miljövariabler. Du skulle lägga dina miljövariabler i en .env-fil som inte distribueras med programmet, och som inte är i versionskontroll. Ett exempel på .env kan se ut så här
DB_NAME=my_db
DB_HOST=localhost
DB_PASS=secret
DB_USER=me
https://www.npmjs.com/package/dotenv - se den här länken för mer information om hur du använder dotenv och gör lite forskning om 12-faktors säkerhet i appar :)