Como se indicó anteriormente, el archivo .ini podría no ser más o menos seguro que almacenarlo en un archivo .php. Sin embargo, una cosa a considerar es que al usar el archivo .ini, esta configuración es efectivamente global para todos y cada uno de los códigos PHP y sitios web. El uso del archivo .ini puede afectar a otro código para el que desee utilizar un usuario diferente.
En general, es probablemente la mejor práctica de seguridad NO usar un archivo .ini para almacenar la contraseña, simplemente porque ahora está abierto a cualquiera que almacene archivos PHP en su servidor. También lo convierte en una molestia si de repente necesita dar varios sitios o aplicaciones para un sitio diferente de inicio de sesión (para bases de datos separadas). No es mejor utilizar un inicio de sesión para múltiples bases de datos, excepto para el usuario raíz, que solo debe usarse con fines administrativos.
+1 por sugerir mantener el archivo fuera del docroot. Esto reduce la superficie de ataque a través de otras vulnerabilidades comunes. – Cheekysoft