Quella che mi hai indicato tu:$data = json_decode(file_get_contents("credenziali"), True);
Ma forse ho risolto in un altro modo, ovvero: ho un file .php nella home (con i dati di accesso), e le pagine php leggono da li. Quando modifico la password, lo apro con "fopen" in sovrascrittura e lo riscrivo ma con i dati nuovi. In questo modo funziona e il file non è nello scope del server web.