Aprirei una backdoor con i permessi di root e poi, in shell, vado a spasso e leggo/modifico tutto quel che mi pare, compreso mandare spam con il tuo account, azzerarti il db, sostituire i tuoi file e quant'altro mi passi per la zucca.

La sicurezza non dipende tanto da dove e come metti i tuoi dati, ma da come e' gestito il sito in primis. Se poi la password e "hashata" nessuno si sogna di perdere il tempo per decodificarla. Basta crearne una nuova.

Per quanto riguarda leggere i file .php questo dipende dal server HTTP (di solito apache) e non dal PHP. Non lo leggi perche' viene parsato dal server e ti manda solo il risultato dell'elaborazione.
Ma se non lo chiamo via http.....