Как указано выше, файл .ini не может быть более или менее безопасным, чем хранить его в самом файле .php. Однако следует учитывать, что при использовании файла .ini этот параметр является глобальным для любого PHP-кода и веб-сайтов. Использование файла .ini может повлиять на другой код, для которого вы хотите использовать другого пользователя.
В целом, это, вероятно, лучшая практика безопасности - НЕ использовать INI-файл для хранения пароля, просто потому, что теперь он открыт для всех, кто хранит PHP-файлы на вашем сервере. Кроме того, это доставляет некоторые хлопоты, если вам внезапно понадобится предоставить нескольким сайтам или приложениям для сайта разные логины (для отдельных баз данных). Не лучше использовать один логин для нескольких баз данных, за исключением пользователя root, который должен использоваться только в административных целях.