Выносите данные авторизации всегда в файл конфигурации.
Проще будет при переносе ресурса куда-либо.
Что касается внесения их в файлы PHP, известно миллион ситуаций когда из-за неправильного конфигурирования web-сервера, пользователям отдавался файл PHP в исходном текстовом виде. Оно вам надо?

Вы в password_form указали ширину 100%, поэтому он и вытесняет всё остальное, находящееся справа.
Укажите, например 80% и увидите, как show_password окажется в той же строчке.