Da come confronti gli input con le password, Timing attack è una possibilità. Un altro motivo per non inserire password direttamente nel codice sorgente è che se il web server per xyz motivi dovesse fallire di processare la pagina per colpa dell'interprete di php, della configurazione, di un bug nel tuo codice, di un meteorite, (...), e la pagina venisse restituita all'utente sotto forma di testo, allora le credenziali saranno esposte.
Ovviamente devi essere più specifico quando parli di "sicurezza" o di "rischi", perché quello dopo di me ti chiederà "usi https per inviare la password?", e quello dopo ancora ti chiederà "come hai configurato il web server?", e quello dopo ancora chiederà "la password è abbastanza lunga? che caratteri contiene?", e così via.