По умолчанию хост/пользователь/пароль базы данных Django хранятся в файле settings.py проекта в виде обычного текста.
Кажется, я не думаю о лучшем способе на данный момент, но это, похоже, против лучших методов хранения паролей. Конечно, если у злоумышленника есть доступ к файлу настроек, все, вероятно, уже потеряно. Даже если файл был зашифрован, у злоумышленника, вероятно, были бы средства для его расшифровки.
Это нормально?