ですが、DBを覗き見れるとなると「多少の問題」では済まなくなってしまいます。これだけのサイトが並ぶ中、パスワードを他サイトで使いまわしている利用者も、悪意を持ってDBに侵入する利用者も少なからずいるでしょう。

代替案として、.htaccessの権限のみをファイル作成時から読取り不可能で固定する、というのを提案します。
そうすれば、.htaccess内では環境変数を定義することができるので、機密情報をある程度安全にできるのではないかと思います。