Eu errei o nome o correto é SQlite, ele guarda no mesmo servido que ele esta instalado!
Ou seja se o SERVIDOR tem brecha já era meu amigo!
https://sqlite.org/index.html
Não vejo mal algum em você utilizar um arquivo TXT.
Agora dados sensiveis como
Senhas, dados de cartão etc. Sempre criptografe e tanto faz ser num txt ou num banco de dados comum.
Dados sensiveis você criptografa em qualquer tipo de forma que você guarde ele!