Passworte, Credentials u. dgl. gehören in Konfigurationsdateien, z.B. eine ini.
Und wenn der Server die Datei nicht parst sondern als Plain ausgibt?
Dann baut dir dein "Gesetz" ein Sicherheitsloch, indem er das Passwort im Klartext anzeigt.
Solche Pauschalaussagen, ohne die Servervorrausetzungen zu kennen, sind echt gefährlich.