Så länge filen kommer att tolkas av PHP finns det inget att oroa sig för, och den ena är inte säkrare än den andra. Icke desto mindre är det praktiska inblandade också:om du skriver din mysql_connect på mer än ett ställe och du har bestämt dig för att flytta din databas till en annan värd, eller du har bestämt dig för att ändra lösenordet, eller om du fick reda på att det är absolut osäker att ansluta med root-kontot (ändra det;)), det är lättare att ha connect-satsen på ett ställe.
Dessutom, om PHP inte analyserar din fil, är det bättre att ha dessa viktiga filer utanför av webroot, inte ens tillgänglig för Apache. Det är det säkraste sättet.