Le pratiche comuni per questo problema includono inserire le credenziali del database in un file di configurazione che non è PHP, ad esempio un file .ini, e quindi leggerlo con PHP. Per aggiungere ulteriore sicurezza dovresti anche mettere il file di configurazione al di fuori della web root, in modo da essere sicuro che nessuno possa accedere al file navigando direttamente su di esso.
Ad esempio, il framework Laravel (tra gli altri) definisce la web root nella directory /public, mentre al di fuori di quella directory c'è un .env
file contenente le credenziali del database tra le altre impostazioni.
Dai un'occhiata qui per maggiori informazioni:Come proteggere password del database in PHP?
Ancora più importante, però, non dovresti mai preoccuparti che il tuo PHP venga servito come testo normale. Adottare le adeguate precauzioni di sviluppo per garantire che ciò non accada mai. Alcuni punti di partenza sono:
- Assicurati di aver installato PHP!
- Assicurati di aprire e chiudere correttamente i tag
- Assicurati che l'estensione del tuo file sia
.php
e non.html
(a meno che non utilizzi questo aggirare ) - Assicurati inoltre nel codice di produzione di non visualizzare errori nella pagina (display_errors ini)