Форум PHP

Допустим, в файле admin.php хранится логин и пароль администратора для входа.
Злоумышленник, зная имя страницы, скачает её (исходник) с сервера, и узнает пароль.
Да и с файлами, думаю, также. Пароль хранится в файле pass.dat, узнав имя он скачает его и все.

Как избежать этого? Где лучше всего хранить пароли?

Если злоумышленнико получит ftp доступ, то ему ваши пароли с этого момента будут не особо и нужны. В противном случае, файл *.php с сайта не скачать.

Храните пароли в php файле вида

<?php exit(); ?> пароли

Ну ведь если скачать эту страницу, то пароль будет известен! Например, мне однажды понадобился исходник php страницы. Через Flash Get (качалка) ввел адрес, и скачал эту страницу! И весь исходник у меня. Может, этот сайт был не особо защищен?

Нет, если сервер нормально настроен, скачать можно только результат работы скрипта, исходники скачать не удасться. Вероятно был сбой - это не типичная ситуация, у нас такой сбой, например, был два года назад, после чего не повторялся.

Ну хорошо, спасибо!
Значит, я могу смело положиться на сервер?

Если у Вас есть возможность усилить защиту лишним элементом - усильте её.
Потому, что на практике всё окажется наоборот. Лишних элементов не будет. Будут дыры на месте отсутствующих.
Навскидку.
1. Файл с паролями имеет смысл убрать из ветви document_root, так чтоб к нему не смогили дотянуться браузером даже случайно.
2. Почему с паролями? Обычно требуется только один элемент - логин/пароль доступа к серверу БД. Если Вы собираетесь хранить целый список паролей, чтобы проверять чьи-то права доступа, сраните не пароли, а хеши. Даже если до них дотянутся, получить из хешей пароли будет непросто.
3. Старайтесь избегать ситуаций, когда требуется хранить сами пароли. Пусть их вводят пользователи в момент использования. Хранение паролей (и вообще секретных ключей) довольно гадкая задача, чем-то напоминающая хранение денег. Нужно много (причем согласованных) ухищрений, чтобы их не утащили.