• Esercitati in generale a una buona sicurezza della password (non usare parole del dizionario, ecc.)
• È buona norma nominare il file con estensione .php, come hai fatto tu, perché è improbabile che il server web venga indotto con l'inganno a servire il file come testo normale.
• Assicurati che config.php sia archiviato al di fuori della radice web. Ciò significa che se qualcosa dovesse andare storto con la configurazione del tuo server e iniziasse a fornire file PHP come testo in chiaro, non perderesti la password del tuo database (perché nessuno sarebbe in grado di richiedere config.php).
• Assicurati che le credenziali del database siano costanti con nome appropriato, anziché variabili. Ciò rende meno probabile che tu possa in qualche modo usarli in modo inappropriato (ad esempio, se la password era $password anziché DB_PASSWORD potresti fare qualcosa con il $password variabile nell'ambito globale, dimenticando che è in uso - improbabile, ma una piccola possibilità).