wszędzie w tutorialach ze skryptem logowania i rejestracji piszą, że dane do logowania do bazy trzymac w liku np: db.php, a potem przez funkcje include,require dodawac go do skryptu

tylko scieżka do tego pliku jest znana i w adresie przeglądarki mozna ją sobie wpisać - a tam są wszystkie dane, halo, login...

czy istnieje jakis bezpieczniejszy sposob na to ?

1) Nawet jak ktos wpisze sciezke w przegladarce to guzik zobaczy bo serwer przetworzy kod php
2) A niby czemu sciezka do tych plikow jest znana? Takie pliki trzyma sie w katalogu, i nawet jak jego nazwa jest znana to katalog ten nie powinien byc dostepny z poziomu strony www.

zazwyczaj z poziomu strony www dostepny jest katalog o nazwie public. Wszystko inne jest niedostepne. Ale to sie konfiguruje po stronie serwera.

Mozesz np.

W głównym pliku

[PHP] pobierz, plaintext 
define('in_main', true);
[PHP] pobierz, plaintext 

W db.php na początku:

[PHP] pobierz, plaintext 
if (!defined('in_main')) {
    exit 'Error.';
}
[PHP] pobierz, plaintext 

Jeśli o to chodzi.
__
Oczywiście mając na uwadze post nospora bo w praktyce jak nic nie wyświetlasz to nic nie pomoże, jedynie nie wykona tego pliku.

Zobacz na przykładzie np tego https://github.com/zf3buch/zendframework-ce.../production.php jak to wygląda.

ok, rozumiem

to juz wiem dla czego nie znajdowałem konkretnych rozwiązań swojego problemu

dziekuje za nauke.