Lo que se suele hacer es crear un archivo de configuracion aparte y la conexión por otro lado, pero la ventaja que tiene PHP es que al ser del lado del servidor a no ser que tengas algún agujero de seguridad (algún panel de administración que permita ver archivos, acceso fácil al FTP..) no podrán ver las contraseñas, a no ser que las muestres.
Sino cualquier página web estaría vendida y no tendría sentido seguir programando en PHP.