Ja w plikach *.ini. Wątpliwości wzbudza u mnie zapisanie tam hasła do bazy danych, choć teoretycznie nikt z poziomu przeglądarki nie może ich odczytać(blokada .htaccess)
Czy .htaccess wystarczy?
PS Oczywiście aplikacja jest napisana tak, że nie można podejrzeć w niej plików *.ini
