对于非常安全的系统，我们在配置文件中加密数据库密码(该文件本身由系统管理员保护)。在应用程序/服务器启动时，应用程序会提示系统管理员输入解密密钥。然后从配置文件中读取数据库密码，解密并存储在内存中以供将来使用。仍然不是100%安全，因为它存储在内存中解密，但你必须在某些时候称它“足够安全”!

只是把它放在配置文件的某个地方是通常完成的方式。只要确保你:

禁止从网络外的任何服务器访问数据库， 注意不要意外地向用户显示密码(在错误消息中，或通过PHP文件意外地作为HTML提供，等等)。

我们是这样解决的:

Use memcache on server, with open connection from other password server. Save to memcache the password (or even all the password.php file encrypted) plus the decrypt key. The web site, calls the memcache key holding the password file passphrase and decrypt in memory all the passwords. The password server send a new encrypted password file every 5 minutes. If you using encrypted password.php on your project, you put an audit, that check if this file was touched externally - or viewed. When this happens, you automatically can clean the memory, as well as close the server for access.

如果你在别人的服务器上托管，在你的webroot之外没有访问权限，你可以把你的密码和/或数据库连接放在一个文件中，然后使用.htaccess锁定文件:

<files mypasswdfile>
order allow,deny
deny from all
</files>

一个额外的技巧是使用一个PHP单独的配置文件，如下所示:

<?php exit() ?>

[...]

Plain text data including password

这并不妨碍您正确地设置访问规则。但如果你的网站被黑客攻击，“要求”或“包括”将在第一行退出脚本，因此更难获得数据。

然而，不要让配置文件在可以通过web访问的目录中。你应该有一个“Web”文件夹，包含你的控制器代码，css，图片和js。这是所有。其他的都放在脱机文件夹中。

将它们存储在web根目录外的一个文件中。