Una simple pregunta sobre PHP / MySQL Seguridad

Muchas veces he leído en foros y artículos que no se debe poner la información de acceso de MySQL en la misma secuencia de comandos SQL que la mayoría son pulg recomienda colocar un script de conexión predeterminado por encima de la raíz Web, y que tengan todas sus escrituras que son antes de cualquier secuencia de comandos MySQL estados de los Estados. Mi pregunta es la siguiente: ¿POR QUÉ?

Quiero decir que no puedo imaginar un caso en el que colocar el archivo raíz de la web por encima de hacer una diferencia. Si un atacante ha obtenido la información de FTP, entonces deben tener acceso a todo. ¿Hay alguna manera de que los hackers pueden acceder a un sistema de archivos con los servidores de FTP? Y si es así, ¿entonces que se limite a la web de raíz?

Im not sure, pero creo que este tren de pensamiento viene de una época donde la gente utiliza "*. inc" incluye archivos como lugar de "*. php" archivos. En esa situación, la información dentro de los archivos *. inc podrían ser visibles a una persona para acceder a él a través de un navegador desde el servidor en general, no es posible analizar la configuración de los archivos *. inc como PHP cuando theyre pidió directamente.

Además, no se olvide de inyección de SQL que puede producir raíz.

http://www.youtube.com/watch?v=7zZLdx1JmmQ

Eso es uno de los muchos vídeos de inyección de SQL.

una de las razones quizá en alojamiento compartido, un servidor de base de datos mal configurado puede permitir a otros websiteBs secuencia de comandos para obtener acceso websiteB que si no conocen la información de inicio de sesión mysql websiteA sitio web y los dos (A y B) es proporcionado por el mismo proveedor de alojamiento en las mismas bases de datos servidor

FTP es un proceso y es responsable de la transferencia de archivos, la única manera de obtener acceso a disponer de algún programa de FTP o medio. HTTP, pero también permite a su script será analizada desde el servidor antes de mostrarlos. Así que sólo es responsable de FTP, por lo tanto, sólo es para obtener acceso de ftp y no creo que u puede limitar a raíz Web.

Asimismo, si un atacante obtiene acceso a ftp, entonces él / ella no va a robar información de su base de datos, pero seguramente el resto de otras escrituras y poner el suyo, porque en ese caso, él / ella es el propietario del lugar.

Bueno, aunque lo hizo obtener acceso FTP, que sería capaz de obtener información de su base de datos de usuario (a partir de un archivo de configuración) y escribir un guión para darle todas las líneas de base de datos y tablas a través de FTP.
Acerca de la inyección de SQL, mysql_real_escape_string () debería funcionar bien. (buscarla en PHP.net si es necesario)

ahora la pregunta es

lo que una persona puede hacer por el robo de información de acceso de MySQL?

Suponiendo que el servidor está bien configurado (y por encima de la razón dada por mí nunca puede suceder)?