Hi Sebastian,

Bei einem eventuellen Ausfall der PHP-Engine könnte
der Quellcode mit Paßwort offenliegen.

falls Du mit "Ausfall" einen Fehler meinst (also z. B. eine Beschädigung der Dateien des PHP-Interpreters), dann gilt das wohl nicht (das gäbe eher einen internal server error).

Aber wenn jemand in der Webserver-Konfiguration die Verbindung zwischen dieser Endung und dem PHP-Interpreter trennt (also PHP quasi "deinstalliert"), dann fällt das Kind in den Brunnen, weil das Default-Verhalten des Webservers sicherlich darin bestehen wird, den Inhalt unspezifizierter Dokumente auszuliefern - samt Passwort drin.

Besser wäre es, das Passwort in einer separaten Datei (oder gar Datenbank) außerhalb des URL-Space zu speichern. (Obwohl es andererseits auch wiederum keinen Ort gibt, der bei hinreichend fehlerhafter Konfiguration wirklich zuverlässig "außerhalb des URL-Space" liegen kann ...)

Viele Grüße
      Michael