No, se parli di utente finale non penso che lui / lei possa modificare i tuoi file php perché il server non ha reso il php in testo normale fino a quando non gli viene detto di farlo. ciò che puoi fare per proteggere i tuoi file connection.php è archiviarlo in una directory separata e limitare l'accesso diretto al file e alla directory tramite la configurazione del server o qualsiasi altro mezzo.
Il modo migliore per inserire le credenziali del database è creare la pagina di configurazione (.config) e memorizzare i valori al suo interno. Nessun utente può visualizzare il file a meno che non abbia i privilegi di amministratore sul server sql
Se non si desidera mantenere le credenziali del database in testo normale nei file PHP, è possibile memorizzarle in variabili d'ambiente su Sistema operativo e ottenerle utilizzando la funzione PHP denominata getenv ; qualcosa di simile:
<?php
$user = getenv('DB_USER');
$pass = getenv('DB_PASS');
...
?>
È possibile aggiungere un altro livello di sicurezza in questo modo, le credenziali non saranno in chiaro sul codice sorgente e il rafforzamento del sistema operativo aiuterà a proteggere anche loro.
Spero che questa informazione ti aiuti.