Tach!

Wie kann ich den Benutzernamen und das Passwort zuverlässig verschleiern oder, was noch besser wäre, vor Zugriffen und der Einsichtnahme von Außen abschotten?

Gar nicht mit hunderpozentiger Sicherheit. Du kannst sie in der PHP-Datei lassen. Alles andere bringt nur marginale Vorteile.

Wenn jemand Code auf deinem Rechner ausführen kann, ist nichts zu retten. Du musst ja zum verschlüsselten Passwort auch wieder die Entschlüsslung im Code stehen haben, wozu du einen Key oder ein Passwort brauchst, das du nicht verschlüsseln kannst. (Also, das geht schon, aber dann geht die Kette weiter und an dessen Ende steht immer in unverschlüsselter Wert.) Verschlüsslung bringt also nichts, außer Arbeit viel Arbeit für dich und unter Umständen nur ganz ganz wenig für den potentiellen Entwender.

Dann bleibt noch das Szenario übrig, dass der Webserver fehlkonfiguriert ist und PHP-Code unabgearbeitet rausgibt. Das sollte zwar recht schnell auffallen, weil dann mit Sicherheit ziemlich viel nicht mehr läuft, dagegen hilft aber, (PHP-)Code in eine Datei auszulagern, die nicht ausgeliefert werden kann. Also Dateien, die außerhalb des DocumentRoot abgelegt sind. Und das kann dann ruhig PHP-Code bleiben, muss nicht irgendein anderes Dateiformat werden. Allerdings ist das DocumentRoot ebenfalls (fehl)konfigurierbar.

Wenn man mal davon ausgeht, dass man bezüglich des DocumentRoot keine Fehler in den Server konfiguriert, ist die Ablage außerhalb des DocumentRoot eine recht effektive und effiziente Art, die Daten wenigstens einigermaßen aus der Schusslinie zu nehmen. Wenn das ein Server ist, der mehrere Projekte hostet, dann kommen noch die Berechtigungsvergaben ins Spiel, damit die benachbachbarten Projekte nicht ohne Hürde an die Daten kommen.

dedlfix.