define("DB_PASS", "1$xgz7BD");

ist dieses Verhalten, für das automatische Ersetzen bzw. das Auflösen von Variablen innerhalb von Zeichenketten, in PHP nicht generell potentiell gefährlich?

das kommt darauf an, wie du 'gefährlich' definierst, würde ich sagen.
an was für einen fall denkst du zum beispiel?

Kann man diese Funktionsweise per Konfiguration deaktivieren?

fände ich sehr unpraktisch, das global zu deaktivieren.
einfache anführungszeichen statt doppelte reichen ja, wie auch im thread schon gesagt wurde.