Jeżeli uda mu się włamać na twój serwer, uzyska ten plik i wiadome, że hasło będzie już miał.
Nie wiem jak to dokładnie działa, ale kilka razy miałem tak, że zapisując plik php odrazu na serwer i uruchamiam go w tym samym czasie - wywaliło mi kod PHP, jakby nie było ?> lub <?php.
Dlatego też powinno się hasła itp. dawać w oddzielnym pliku, którego sie prawie nie edytuje (np. config).