Passworte, Credentials u. dgl. gehören in Konfigurationsdateien, z.B. eine ini.

Und wenn der Server die Datei nicht parst sondern als Plain ausgibt?
Dann baut dir dein "Gesetz" ein Sicherheitsloch, indem er das Passwort im Klartext anzeigt.

Solche Pauschalaussagen, ohne die Servervorrausetzungen zu kennen, sind echt gefährlich.

ich möchte hier nochmal ansetzen.

Passwörte gehören in Config-Dateien, sagt hotti.

Du sagst (so verstehe ich es), solche Pauschalaussagen sind gefährlich, weil es ja sein kann, dass das ganze auf einem Server gehostet wird, bei dem alles im doc root liegt *und* man nicht mal die Möglichkeit hat, per .htaccess zu verhindern, dass bestimmte Dateien heruntergeladen werden können. (Nochmal: mein Beileid, wenn man mit so einem Server arbeiten muss, um am Ende des Monats was zu Essen zu haben, ganz ehrlich gemeint).

Ich finde das einfach wahnsinnig albern.

Nehmen wir mal folgende Unterhaltung an:
A: Spring niemals aus dem 3. Stock eines Hauses.
B: Und wenn die Wohnung in Flammen steht, soll man sich einfach brutzeln lassen? Ich finde solche Pauschalaussagen echt gefährlich.

Ich hoffe, dass verständlich ist, was ich damit sagen will.

Das heisst: Wenn ein Ratschlag lautet, dass Passwörter in Config-Dateien gehören, und man davon ausgeht, dass das gefährlich ist, weil Leute, die keine Ahnung haben, das auf Server packen könnten, die den Download der Config erlauben, dann wäre die Konsequenz, am besten allen vom Programmieren abzuraten. Man darf doch davon ausgehen, dass man mit Leuten mit einer gewissen Intelligenz redet, die zu der Aussage "Das gehört so", wenn es die Umstände erfordern, eine Ausnahme machen.

Es ist durchaus legitim, darauf hinzuweisen, dass je nach Konfiguration die Möglichkeit besteht, dass ungewollt Dateien heruntergeladen werden können. Aber hottis Rat als gefährliche Pauschalaussage zu bezeichnen, ist wirklich albern.

Das war der Punkt, auf den ich mich bezog. Was du daraus gemacht hast und mir in den Mund gelegt hast, ist leider nur lächerlich.