Hardcoden eines Strings bedeutet das man Stringliterale benutzt und den String nicht dynamisch zusammenbaut.
Besonders Format-Strings in C (sprintf etc) sollte man vermeiden weil es einen String in einem Puffer zusammenbaut und Angriffsmoeglichkeiten ueber den Format-String selbst bietet.