No creo que puedan llegar a ver la contraseña nunca de la manera que dices haciendo peticiones para que muestre errores. Como mucho verían alguna ruta, y el usuario de mysql, pero nunca la contraseña.

Lo que puedes hacer es poner las funciones error_reporting(0) y display_errors(0) y te evitas esos problemas. (Quitalo cuando programes)