Come dice luca, l'.htaccess non ha alcuna influenza sui file .php in quanto il loro contenuto (codice) non può esser scaricato dall'utente remoto.
Quindi le password nei file php non possono esser carpite da un utente remoto e sono, di conseguenza, al sicuro.

Per lo meno da remoto.

Però possono essere sniffate in rete (e già ti è stato risposto) oppure "prelevate" da un altro script, diciamo sempre PHP, che gira sulla stessa macchina sulla quale gira il tuo programma.
Dato, infatti, che tutte le applicazioni PHP che girano su Apache (o IIS) hanno i medesimi permessi dell'utente con cui gira il webserver, allora se uno script legge un file .php (o lo può includere), allora può farlo un qualsiasi altro script di una qualsiasi altra appplicazione che gira su quel webserver.

A meno che:
1. i programmi web non facciano capo a distinti virtualhost e per ognuno di essi (tramite la direttiva php_admin_value open_basedie <cartella>) vengano definite le cartelle di scope (cioè dove questi possono leggere);
2. utilizzi mod suExec, il quale diversifica i permessi degli script dentro distinti vhost (*nix).

--

P.S.: lo sniffing dei dati è possibile (nella realtà e non nelle favole) semplicemente in rete locale, dove appunto (dato che la ssfiga ci vede benissimo) è possibile "crackare" un tunnel SSL tramite il famoso man in the middle attack.
Ma bisogna esser bravi e pazienti