هذا صحيح

أقصد وضع الملف خارج المجلد الرئيسي القابل للوصول من خلال الويب مثل وضعه خارج مجلد www او public_html ثم تقوم بقرائتها من ذلك الملف. لنفرض أن اسم ذلك الملف هو config.ini وأن صفحة الphp موجودة على المجلد الرئيسي مباشرة عندها سنقوم بقراءة محتوى ملف config.ini بالشكل التالي $config = parse_ini_file('../config.ini'); أما بخصوص الشق الثاني فمن وجهة نظري أن وضعها في مكان آمن أفضل من إرسالها عند كل عملية حيث أنه حتى بروتوكول https لم يعد آمن تماما.

يمكنك وضع كلمة المرور في ملف على السيرفر خارج مجلد الجذر حيث يكون هذا الملف غير قابل للوصول من خلال الويب ومن ثم قم بقراءة كلمة المرور من ذلك الملف عند الحاجة إليها. أعتقد أن هذه الطريقة أكثر أمانا من طلبها من المستخدم عند كل عملية.