Finché il file verrà analizzato da PHP, non c'è nulla di cui preoccuparsi e l'uno non è più sicuro dell'altro. Tuttavia, c'è anche la praticità:se scrivi il tuo mysql_connect in più di un posto e hai deciso di spostare il tuo database su un altro host, o hai deciso di cambiare la password, o se hai scoperto che è assolutamente non è sicuro connettersi utilizzando l'account root (cambialo;)), è più facile avere l'istruzione di connessione in un unico posto.
Inoltre, se PHP non sta analizzando il tuo file, è meglio avere quei file critici fuori della webroot, nemmeno accessibile da Apache. Questo è il modo più sicuro.
