Tach!

Also korrigiert mich, wenn ich falsch liege, aber 95% der PHP-Anwendungen, die ich benutze, benutzen PHP-Dateien als Konfiguration. Prominente Beispiele dafür sind Roundcube, Postfixadmin, MyWebSQL, Wiki-Systeme usw.

Wie schon erwähnt, solche mehr oder weniger prominenten und öffentlichen Programme müssen auf den schlechtestmöglichen Plattformen einigermaßen sicher laufen. Das Minimum ist da, dass .php-Dateien durch den Parser und alles andere direkt ausgeliefert wird.

Und ein Passwort in eine einfache Textdatei zu schreiben, vielleicht im INI-File-Format ist doch Schwachsinn.

Für oben genannte Projektarten ist es nicht ratsam bis bedenklich, was anderes als .php zu verwenden. Aber .ini zu bearbeiten ist weniger fehleranfällig, weil das Format einfacher als die PHP-Syntax ist. Wenn man sicherstellen kann, dass man Dateien außerhalb des DocumentRoot ablegen kann oder anderweitig den Zugriff wenigstens verbieten kann, dann sind .ini oder andere Konfigurationsdateiformate ebenfalls eine Option. Abzuwägen wäre neben der Editierbarkeit durch den Administrator hier der Aufwand zur Laufzeit beim Parsens des Fremdformates gegenüber dem Parsen als PHP-Code. Vermutlich geht in den meisten Fällen beim Parsen der Unterschied im Grundrauschen unter.

dedlfix.