du arbeitest doch bestimmt nicht für die fbi ;)
letztendlich muss dir eines klar sein: der benutzername und das passwort müssen auf irgenteinem wege zum server
d.h. des eigentliche sicherheitsleck liegt bei der übermittlung
also am besten vor der übermittlung chiffrieren, natürlich nur einbahnstraße
ich glaube js unterstützt md5?
jedenfalls wäre das das erste
die passwörter dürfen in der datenbank natürlich nicht klar gespeichert werden, immer verschlüsselt
d.h. das eingegebene passwort wird auch wieder verschlüsselt und dann verglichen
aber:
1. das dort oben is zwar kein großer aufwand, aber ich würd mich fragen ob es sich nu wirklich lohnt
2. hab gehört .htacces soll ziemlich sicher sein
ich rede schonwieder wirr
gruß