F1 - Ditt MySQL-lösenord och andra programspecifika inställningar bör lagras i en separat fil utanför din webroot. Du kan antingen ta bort det från webroot direkt eller begränsa det via .htaccess. Du kan inkludera filen eller läsa från den så länge du känner till sökvägen.
Q2 - Binärfilerna bör också lagras utanför webbroten. Det perfekta sättet att tjäna dem skulle vara att ha dem nedladdningsbara via en PHP-fil. På så sätt kan du göra autentisering innan filen visas och du kan göra länkarna tillfälliga så att användare inte kan dela den med andra människor
F3 - Om du använder metoden ovan behöver du inte lagra den som en BLOB i MySQL
F4 - Jag har inte riktigt stött på något som gör och är ett bibliotek/autonomt manus. Att servera dem via rätt rubriker borde dock inte vara alltför svårt.