Q1 – Vaše heslo pro MySQL a další specifická nastavení aplikace by měla být uložena v samostatném souboru mimo váš webroot. Můžete to buď přímo z webrootu nebo omezit přes .htaccess. Můžete zahrnout soubor nebo z něj číst, pokud znáte cestu.
Q2 – Binární soubory by měly být také uloženy mimo webroot. Ideálním způsobem, jak je obsloužit, by bylo nechat je stáhnout prostřednictvím souboru PHP. Tímto způsobem můžete provést ověření před doručením souboru a můžete vytvořit dočasné odkazy, aby je uživatelé nemohli sdílet s jinými lidmi
Q3 – Pokud použijete výše uvedenou metodu, nemusíte ji ukládat jako BLOB v MySQL
Q4 – Ve skutečnosti jsem nenarazil na nic, co by dělalo a bylo knihovnou/autonomním skriptem. Jejich podávání prostřednictvím správných hlaviček by však nemělo být příliš obtížné.