La única solución para evitar que ante esa eventualidad el site completo se vea expuesto, es poner el/los 'config.php' (los datos de log/pass, etc) fuera del acceso web... Por ejemplo: Si el path es este, '/home/domain/public_html/index.php', el 'config.php' irá en '/home/domain/config.php' ... es decir, *ANTES* (fuera) de la carpeta 'public_html'.

O dicho de otra forma y en general .. Cololcar los archivos fuera del alcance del "DOCUMENT_ROOT" del servidor (que en un phpinfo() también se informa de dicha variable en el grupo de variables _SERVER ...)

Un saludo,

PD: Shockly, te animas a realizar una FAQ para el foro de PHP al respecto?