du arbeitest doch bestimmt nicht für die fbi ;)

letztendlich muss dir eines klar sein: der benutzername und das passwort müssen auf irgenteinem wege zum server

d.h. des eigentliche sicherheitsleck liegt bei der übermittlung

also am besten vor der übermittlung chiffrieren, natürlich nur einbahnstraße

ich glaube js unterstützt md5?

jedenfalls wäre das das erste

die passwörter dürfen in der datenbank natürlich nicht klar gespeichert werden, immer verschlüsselt
d.h. das eingegebene passwort wird auch wieder verschlüsselt und dann verglichen

aber:
1. das dort oben is zwar kein großer aufwand, aber ich würd mich fragen ob es sich nu wirklich lohnt
2. hab gehört .htacces soll ziemlich sicher sein

ich rede schonwieder wirr

gruß