• Procvičte si obecně dobré zabezpečení heslem (nepoužívejte slova ze slovníku atd.)
• Je dobrým zvykem pojmenovat soubor s příponou .php, jak jste to udělali vy, protože pak je nepravděpodobné, že by byl webový server oklamán, aby zobrazil soubor jako prostý text.
• Ujistěte se, že soubor config.php je uložen mimo webový kořenový adresář. To znamená, že pokud by se něco pokazilo s konfigurací vašeho serveru a ten by začal podávat soubory PHP jako prostý text, neprozradili byste heslo k databázi (protože by si nikdo nemohl vyžádat config.php).
• Ujistěte se, že přihlašovací údaje k databázi jsou vhodně pojmenované konstanty, nikoli proměnné. Díky tomu je méně pravděpodobné, že byste je mohli nějak nevhodně použít (například pokud bylo heslo $password spíše než DB_PASSWORD můžete něco udělat s $password proměnná v globálním rozsahu a zapomíná se, že se používá – nepravděpodobné, ale malá možnost).