Per l'ultima domanda, è molto semplice:
se fai un file include.php ci puoi mettere anche una password in chiaro, perché l'utente non leggerà mai il codice PHP di quel file. Se invece fai un file di testo, l'utente basta che lo richiama sul browser e ne legge il contenuto in chiaro.

Per il resto cercherò di buttar giù qualcosa quando avrò un attimo, ma ti conviene dare un'occhiata alla parte delle guide sul sito html.it per vedere di capirci qualcosa prima di mettere mano ai DB.