Mozna...
1. Plik trzymac poza DocumentRoot tak aby nie byl dostepny z poziomu WWW
2. W .htaccess ustawiasz sekcje mniej wiecej taka (pisze z glowy - mozliwe ze gdziej bedzie blad - sprawdzic w dokumentacji przed uzyciem):
Kod:
<Files plik_z_haslem.txt>
Order allow,deny
Deny from all
</Files>
3. Jesli strona w PHP to plik tez zrobic jako .php - nawet jesli juz ktos by przeszed pierwsze 2 zabezpieczenia (jakos) to jesli odczyta plik z poziomu WWW nie zobaczy nic... bo plik jest w stylu
Kod:
<?
$db_name="baza";
$db_user="user";
$db_pass="password";
?>
wiec gdy sie wykona... nic nie wyswietli
Oczywiscie zawsze mozna "od duszy strony" czyli od systemu plikow - jesli jakas aplikacja jest dziurafa i pozwala na local file disclosure wtedy za jej pomoca bedzie mozna odczytac zawartosc pliku jako kod zrodlowy...