Dangereux en l’état, ne pas mettre de mot de passe dans une boucle spip. C’est du html donc visible facilement.
En théorie en passant par une fonction php comme un filtre (mes_fonctions.php).
et ça dans le squelette :
Mais je parle sous contrôle d’experts, j’ai pas testé ;)