No veo ningún fallo de seguridad a excepción que tengas indicado en producción el error_reporting y que veo que tienes separado los símbolo de $ del nombre de la variable que eso es un error. Que en producción para evitar enviar información al navegador del usuario lo mejor es desabilitar el registro de errores y verificar mejor los logs a ver si encuentra algún error. Pero de indicar los datos en el mismo archivo no veo ningún problema ya que el código de PHP corre en el servidor no en el navegador del cliente y por lo tanto las variables no las verá a menos que las imprimas para que se vea en pantalla.