ha ragione perchè se un utente dovesse avere acesso a server (magari anche avendo un proprio sito sul tuo stesso server cndiviso) potrebbe visualizzare i valore dele variabili. Cmq in generale dciamo che "il posto più sicuro per memorizzare valori è il db" (non son parole mie ma di uno degli autori di php).