Здравствуйте.
Могут ли как нибудь утянуть файл типа config.php, где лежит инфа для соеденения с БД в том числе и пароль?
Если да, то как избежать этой беды?
Пользуюсь хостингом у провайдера.

Утянуть файлы можно, но сложно Главные правила безопасности:

1. Ставить права на PHP файлы: 600 или на крайний случай 640;
2. Хранить пароли в PHP файлах в зашифрованном или хешированном виде (MD5, SHA1, DES и.т.п.)
3. Не допускать "дыр" в скриптах, через которые можно утянуть файлы или переменные из скриптов, ответы MySQL и.т.п.

Ну, конечно админы хостера должны быть грамотными, чтобы на уровне веб-сервера обеспечивали должный уровень безопасности

Если хостер маленький, то можно попробовать заставить интерпретатор повиснуть... чтобы http-сервер выдавал скрипты без обработки... =)

Теоретически можно, но на практике почти нереально, тем более если хостинг платный, и сис-админ не полный кретин ! (как в моем случае.)

Конечно можно. НИКОГДА не храните пароли в файлах. тем более к которым можно обратиться из интернета. И дело тут не в хостере, дырки можно найти и в скриптах. В принципе имея терпение залить шелл можно через любой более или менее действующий форум, кмс и тд. а там получить доступ к файлам раз плюнуть! будьте внимательны!

ХЕШ-и и крипто-алгоритмы придуманы не зря!
Пароли в файлах хранить можно, но только не в открытом виде.
И еще желательно компилировать исходники, и для производительности полезно, и фиг кто разберет спертое (если все таки сопрут) =)