È una misura preventiva. Se qualcuno disabilita accidentalmente la valutazione php nel tuo server apache o modifica un'impostazione apache in un file .htaccess, il file potrebbe essere visualizzato come qualsiasi file di testo normale. Oppure, se dimentichi accidentalmente un tag di avvio php, verrà ridefinito come testo normale. Non che faresti un errore così stupido, ma forse un futuro principiante che lavora sul tuo codice potrebbe commettere un errore.
Perché lasciare un possibile vettore aperto quando puoi impedire che sia mai possibile? Segui il consiglio di altri che hanno sparato al proprio piede (o come me, hanno sparato a entrambi i piedi e una mano) e sposta le credenziali al di fuori del tuo docroot.
