Hoch!

[..] Sicht spricht nichts gegen den generellen Einsatz von Konstanten oder PHP-Code für Konfigurationswerte.

Denk mal ein bischen weiter. Z.B. wenn PHP-Dateien einer Versionskontrolle unterliegen. Neues Passwort => neue Version einchecken. Wäre doch Quatsch, wenn sich am Code nichts geändert hat. Und in einer Repository haben Passworte erst recht nix verloren.

Es geht ja generell um Konfigurationswerte. Und ja, auch das muss versioniert werden. Keine Frage. Aber grundsätzlich ist es keine schlechte Idee, Passworte in entsprechenden Dateien bereitzustellen.