Wie sicher sind Passwörter in einem PHP-Script, wenn man sie im Klartext dort einschreibt.

Die Skripte sind nur für Nutzer, die auf dem Server angemeldet sind, lesbar, d.h. nicht für Wildfremde über den Webserver.

Beim Hosting ist es nun allerdings so, dass mehrere Nutzer (Kunden) auf demselben Server eingetragen sind. Abhängig davon, wie der Server konfiguriert ist, kann es möglich sein, dass alle Kunden auf Dateien aller anderen Kunden zugreifen können.

Ob das nun bei dir möglich ist, musst du selbst herausfinden. Schreibe dir ein Skript, das ausgehend von deinem Basisverzeichnis die nächsthöheren aufführt. Von dort aus kannst du dich zu weiteren Daten durchhangeln - oder auch nicht.
Du kannst auch versuchen, /etc/passwd auszulesen, dort findest du die Basisverzeichnisse aller eingetragenen Nutzer des Systems.

Probiere sowohl ein PHP- als auch ein Skript für die Shell aus, beide können getrennte Sicherheitseinstellungen haben.