Ok, está más claro, en una situación normal (dejemos a un lado situaciones particulares en que tu ftp pueda estar comprometido) tu config.php no debería incluir texto imprimible por php

suponé:

index.php, require('config.php');
y tu config tiene

$clave = "xxxx";

quienes llamen a config.php no van a ver sencillamente nada, ademas el nombre config.php no aparece visible en la vista de código fuente de index.php.
Si querés más seguridad, podes poner tu config.php por fuera de la raiz de tu sitio(si es que tu hosting te da acceso a este) y llamarlo con la ruta absoluta, ejemplo

tu web se inicia en
/users/www/pafate/htdocs

pero vos podes subir archivos a pafate, ponés ahi el config.php y en el require lo llamás con
require('/users/webs/pafate/config.php');

Se entiende?

Saludos