Geht es besonders um den Fall, dass es durch irgendwelche Lücken, etwa Suchfunktion oder Dateiausgabe, gelingt, doch an den PHP-Code (oder z.B. an htpwd) zu kommen?

Genau das - das Hauptproblem ist nicht technischer natur sondern sozial. Sobald einem Administrator, Programmierer oder sonstjemandem das Klartextpasswort bekannt ist, besteht die Gefahr, dass es kompromitiert ist.

Besonders bei großen, strukturierten Daten ist da die Verlockung groß - E-Mail-Adressen in Kombination mit Passwörtern sind sehr begehrt, da es bei einem normalen Menschen sehr wahrscheinlich ist, dass er überall dasselbe Passwort verwendet.

Ob du nun ein CSV mit 20 Passwörtern hat oder eine Datenbanktabelle mit 25.000 ist da egal. Jeder Mensch hat seinen Preis, diese Daten dann am Schwarzmarkt zu verkaufen scheint garnicht so schwierig zu sein.

Darum ist es essentiell, dass bis auf den Benutzer selbst keiner das Passwort kennt und es eben nur als Prüfsumme vorliegt.