Passworte, Credentials u. dgl. gehören in Konfigurationsdateien, z.B. eine ini.

Und wenn der Server die Datei nicht parst sondern als Plain ausgibt?
Dann baut dir dein "Gesetz" ein Sicherheitsloch, indem er das Passwort im Klartext anzeigt.

Das kann ja wohl kein Grund sein, keine Konfigurationsdatei zu verwenden.
Configs gehören nicht ins document root.