Ed infatti non mi sembra di averlo proposto.di sicuro il mettere in un file di sessione user e password e' una idea peregrina da scartare a pie' pari.
Solo se il web server è stato configurato senza alcuna conoscenza dei concetti base della sicurezza.Si tratta di un file leggibile da chiunque....