Vamos a poner un caso:
Si el archivo de configuración está dentro de las carpetas públicas del servidor web, entonces puede haber problemas. Dado que el servidor web no reconoce la extensión *.ini no tiene forma de interpretarlo, supongamos que alguien escribe el nombre del archivo ini en la barra de direcciones del navegador web, el resultado sería que el servidor web despliega su contenido o bien, permite la descarga del archivo. Como vez esto no es seguro pues dejas expuesta la infomación de tu conexión incluyendo las contraseñas. Una manera simple para protegerlo es denegar el acceso a estos archivos ini dentro de la configuración del servidor web.
Si estás utilizando Apache puedes crear un archivo .htaccess en la carpeta que contiene los archivos ini de configuración y colocar estas líneas
Código:
<files *.ini>
order deny,allow
deny from all
</files>
Saludos