Ich würde das Passwort überhaupt nicht im Quelltext speichern, sondern in einer Konfigurationsdatei o. ä. , die sich außerhalb des Webspace-Verzeichnisses befindet. Eine Datenbank wäre evtl. auch geeignet.
Auch dann ist Verschlüsseln zudem noch eine gute Idee.

Der Grund für die Extradatei ist zum Einen die Sicherheit, zum Anderen aber auch einfach ein vernünftiges Design. Quelltext will ich an andere weitergeben können, und die sollen nicht den Quelltext verändern müssen, um ihr eigenes Passwort benutzen zu können. Selbst wenn ich den Quelltext niemandem zeige, will ich auch nicht, dass das Passwort mit dem Quelltext zusammen in Backups etc. wandert.

Nun ist halt nur noch die Frage, ob Dein Provider Dir erlaubt, eine Datei außerhalb von cgi-bin und public_html anzulegen. Wenn nicht, ist er schlecht.

@Linuxer: Ich wollte Dir nicht vorwerfen, Klartextkommunikation zu empfehlen, sondern lediglich Deinen Beitrag mit meiner Bemerkung ergänzen.

@betterworld: Notfalls kann man Daten ja auch ins cgi-bin-Verzeichnis legen. Solange man für die entsprechenden Dateien keine Ausführungsrechte vergibt, sollten sie zumindest nicht über HTTP zugänglich sein. Andererseits, wenn der Provider schon kein Datenverzeichnis anbietet, ist er vielleicht auch zu doof um seinen HTTP-Server so zu konfigurieren, dass man aus cgi-bin nicht beliebige Daten anfordern kann ;-)