Me imagino que tambien dependera de la seguridad de tu server.
como ssabes no se puede ver el codigo php viendo el codigo fuente de la pagina, la unica manera de verlo, seria hackear tu servidor, que si es de pago, tendra su seguridad, por lo que no creo que sea facil que puedan ver tu codigo php y ver tu contraseña de la BD.
Y tambien, la unica manera de introducir codigo malicioso seria a traves de un campo de un formulario, y usando una funcion como esta a las cadenas que pasan por los campoos del formulario, es suficiente, para que no puedan escribir codigo malicioso y conseguir hacerte un SQL injection en lka BD
Cita: function mysql_escape($cadena) {
if(get_magic_quotes_gpc() != 0) {
$cadena = stripslashes($cadena);
}
return mysql_real_escape_string($cadena);
}