ich hab davon gehört, aber noch nie, wie es mal passiert ist - Der Parser, der den PHP-Code übersetzt kann ausfallen (z.B. durch Hacker). Dann ist der Code im Klartext lesbar, deswegen:

-Passwörter u.ä. auslagern in ein Verzeichnis das unter dem Root-Verzeichnis liegt (wenn es geht) oder

-Solche Dateien in mit .htaccess geschützte Verzeichnisse auslagern