Deine Bedenken setzen vorraus, dass jemand deine Zugangsdaten des Servers knackt.
Wie dann die Struktur darunter ausschaut ist wurscht. Er geht dann mit einem FTP-Programm auf deinen Server und fängt an zu saugen.
Wenn jemand nur auf dem Server rumstochert, dann bekommt er die interpretierten Seiten zu sehen. Solange kein echo vor deiner MYSQL-Datei steht sollte er also nix zu lesen bekommen.
Gruß Petra
http://www.quicktoweb.de