1) e OVVIO che login e password NON SI METTONO nel codice
e' come dire: non voglio che mi rubino i soldi QUINDI per sicurezza li porto in PIAZZA e li lascio su una PANCHINA (e me ne vado)
2) il ""concetto"" di salvarli su ""un file"" e' abbastanza giusto. Diciamo che potrebbe anche andare bene.
E' evidente che che sei "newbie", ma questo e' normale, nessuno nasce ""imparato"
In generale si salvano su un database a cui si puo' accedere SOLO se opportunamente autenticati.
MA NON BASTA!
Il ""trucco"" sta' in questo: NON SI SALVA la password, MA si salva il valore HASH della password.
Che cosa sia una funzione HASH crittografica lo trovi qui:
https://it.wikipedia.org/wiki/Funzione_crittografica_di_hash
Ora, al di la delle funzioni ""fighe"" come MD5, SHA, di cui trovi librerie gia' pronte (la loro implementazione e' abbastanza complessa), per iniziare va bene un QUALUNQUE rimaneggiamento della password che la converta in qualcosa che non sia la password stessa
Comunque, SPERO sia solo un ""esercizio"", perche' password in chiaro o implementazioni PERSONALI solo ALTAMENTE rischiose in un sito ""vero"". Anzi, diciamo pure ""criminali""