Bhè, tanto per farti un esempio: in php le password di connessione al database si salvano in chiaro nei file php stessi: tanto di un file php vedrai solo l'output prodotto e non c'è verso, tranne accedere direttamente alla risorsa (via ftp o in locale) di leggerne il sorgente. Idem dicasi per le servlet/pagine JSP: vedrai in output solo l'output che esse generano e, a meno che tu non stia stampando le password nel codice html di output, staranno al sicuro (salvo casi analoghi a quelli sopra esposti per php). Il vantaggio di salvare dati di inizializzazione in un opportuno file testuale esterno all'applicazione e raggiungibile solo dal server ha il notevole vantaggio di rendere facilmente trasferibile l'applicazione stessa (che succede se domani cambi database/utente/percorsi? con un file esterno, modifichi quelle informazioni, altrimenti dovrai ricompilare il tutto...).