Por qué las contraseñas en un archivo .php van (a no ser que lo "ofusques/encriptes") en texto plano .. de facil lectura para el administrador de turno del servidor (sobre todo cuando trabajamos en hostings compartidos) .. o peor todavía cuando la configuración de PHP sobre restricciones de donde se puede mover tu sitio para acceder archivos permita tomar un archivo de otro lugar del servidor (por lo menos en lectura) como suele pasar si no se configura PHP en "safe_mode" (o restricciones por open_base_dir que restringen a PHP por donde se puede mover PHP en ese servidor con las funciones fopen() .. include() .. etc ...)

Un saludo,