An die Daten sollte keiner rankommen, wenn sie in einer PHP Datei stehen. Du kannst auch noch folgendes machen:
Code:
//password.php
<?php
if (!defined('IN_LOGIN')) {
die;
}
$pass = 'xyz';
?>
Code:
//login.php
<?php
define('IN_LOGIN', true);
include('password.php');
...
?>
Sollte aber nicht nötig sein.
Sicherheitslücken können nur durch andere Scripte auf deiner Seite entstehen. Bspw. wenn du eine Dateiauflistung oder so hast, mit der man die Dateien auch ansehen kann. Viele denken dann man könnte nur im aktuellen Verzeichnis surfen, dabei reicht meist ein einfaches ../ aus um ins nächst höhere Verzeichnis zu gelangen.