nachdem ich gerade bei einem CMS eine sehr aufwändige Kennwort-Verschlüsselung mit "Salz" angeschaut habe, mal die Frage, warum es nicht ganz einfach gehen mag: Passwort und Name unverschlüsselt im PHP-Code, Vergleich mit den Eingaben und gut ist es. Dazu noch die zu schützenden Dateien oder Verzeichnisse noch per htaccess absichern.

Dagegen sprechen mehrere Gründe.
a) Dein PHP-Code wird selbst zum schützenswerten Geheimnis
b) bei einem kaputten Server landet dein Passwort auf dem Bildschirm von irgend einem Request.
c) Du kannst das Passwort nicht ändern, wenn du es am schnellsten notwendig hättest.
d) Dein php liegt wohl innerhalb von http root. Ein ausgelagertes Passwortfile kann ausserhalb von http root liegen.

Worum geht es bei den aufwändigen Geschichten?

Um Sicherheit und Flexibilität.

Eine brute force Eingabe aller möglicher Namen und Kennwörter könnte doch so oder so irgendwann, Jahre später, Erfolg haben. Und wer den ftp-Zugang knackt, kann auch in beiden Fällen Unfug anstellen.

Versicherungen verlangen, dass du deine Haustüre abschiesst, auch wenn das einen Einbrecher nicht abschreckt.

Geht es besonders um den Fall, dass es durch irgendwelche Lücken, etwa Suchfunktion oder Dateiausgabe, gelingt, doch an den PHP-Code (oder z.B. an htpwd) zu kommen?

Ein Server kann mal falsch funktionieren und flutsch.... da ist dein Code.

mfg Beat