PHPファイルにIDやパスワードを書き込んでも問題ないのでしょうか？

pubulic以下にあり、WEBアクセスが可能な状態であったとしても、 <?php $user = "hogehoge"; $pass = "password"; ?> と言うスクリプトは真っ白にしか表示されません。 このユーザ名とパスワードをみる術は、1) PHPを無効にする 2) WEB以外のFTPやSSH等でアクセスして見る 3) 別のPHPからインクルードしてecho $user等と表示させる　等の方法が考えられます。 いずれの方法でも通常のWEBアクセスでは見る事が出来ません。サーバをクラックするか、別ユーザとしてログインして別ユーザのファイルを除き見ると言う事になります（当然、一般的なレンタルサーバでは見る事は出来ない設定にしてあると思います）。 WEBサーバのルートディレクトリ以外にファイルを置いておいたらどうでしょう。セキュリティ的にはあまり変わらないと思います。FTPやSSHでログインされてしまえば、どこにおいてあろうと、結局は見る事が出来ます。同じ事です。 このような観点から、恐らくXOOPS等では設定ファイルを自動的に作成し、pubulic領域においておくのだと思います。特に問題があると言う事ではないと思います。 # そうは言っても、自分でスクリプトを作る時はセオリー通りpubulic以下に置かないようにしたりしますけどね (笑。