El usuario B es a mi paracer la mejor opción.

No sé por qué te parece inseguro poner la contraseña en el archivo PHP, ya que ese archivo es seguro por sí mismo, nadie puede ver el código fuente de ese archivo. Ahora que si puedes/quieres meter los datos de las contraseñas fuera de la carpeta raíz, para darle mayor seguridad al asunto, pues igual se puede y lo recomiendan bastante.

Si debes preocuparte por algo sería más bien por evitar SQL Inyections, se puede leer bastante sobre esto en Google.