Hola.

Si, es seguro. Normalmente se puede guardar encriptados los datos de los usuarios del sitio, pero los datos de acceso a MySQL no pueden encriptarse, ya que necesitas pasarlos a las funciones de php para conectarse a MySQL. Mientras que esté en un servidor con php, todo archivo php será interpretado por php y no se tendrá acceso a esas variables con las contraseñas. El único imprevisto es que deje de interpretarse php y se muestren como texto plano, y para ese caso, la mejor solución es colocar esos archivos fuera del directorio visible de la web e incluirlos desde php como ya te han comentado. Otra solución es denegar el acceso al archivo de configuración mediante una directiva en el .htaccess.

Pero para tu tranquilidad debes saber que la mayoría de scripts open source que existen, tipo phpbb y tal, tienen las contraseñas de mysql en su archivo de configuración tal cuales.

Saludos.