Personalmente, memorizzo informazioni sensibili come i dettagli della connessione al database in un config.ini file al di fuori della radice della mia cartella web. Poi nel mio index.php Posso fare:
$config = parse_ini_file('../config.ini');
Ciò significa che le variabili non sono visibili se il tuo server avvia accidentalmente l'output di script PHP come testo normale (cosa che è accaduta prima, famigerata a Facebook); e solo gli script PHP hanno accesso alle variabili.
Inoltre, non dipende da .htaccess in cui non c'è contingenza se il tuo .htaccess il file viene spostato o distrutto.
Avvertimento, aggiunto il 14 febbraio 2017:ora memorizzerò parametri di configurazione come questo come variabili di ambiente. Non ho utilizzato .ini ormai da un po' di tempo.