Hallo,
das Passwort nur mit MD5 zu verschlüssel ist viel Unsicherer als das Passwort gar nicht zu Verschlüsseln, denn:

Wenn ich jetzt den MD5-Hashcode von einer Person habe, wodran man schnell kommt, z.B. wenn er sich im eigenem Forum angemeldet hat, dann reicht dieser Hash-Code aus, um mich einzuloggen.

Dazu muss man das Prinzip verstehen.

Der User gibt sein Passwort in das Passwortfeld ein. Er klickt dann auf "Login".
Ein Javascript liest dann beim klicken das Passwort aus dem Passwortfeld aus, verwandelt es in einen MD5-Hash Code und fügt es (den Hash) dann in das Feld, oder in ein Hidden Feld ein.

Wenn ich jetzt den Hash Code habe, dann deaktiviere ich JavaScript, oder bastel mit eine gefaktes Formular, und füge den Hashcode des Users ein. Dann sende ich das Formular mit dem Hashcode an den PHP Script und er lässt mich rein.
Denn er kann nicht unterscheiden ob dieser Hashcode vorher ein Klartext war, oder ob ich nur den Hashcode eingefügt habe.

Jetzt muss man abwegen:
Was ist wahrscheinlicher? Das jemand deine Leitung abzapft und dann die Klartextpasswörter erhält, oder das jemand dein Hashcode hat?
Bei vielen ist der 2. Fall zutreffender.

Deswegen sind Asymetrische Verfahren, wie z.B. RSA, für soetwas viel besser geeignet. Denn der User verschlüsselt das Passwort dann damit, und _nur_ der Server kann es dann wieder entschlüsselt, sofern sein geheimer Key nicht geknackt wurde.

Und ja nur Zahlen werden akzeptiert, denn es ist nach der Formel:
zahl ^ e mod n

und
a^7 mod 2557

geht wohl schlecht ;).

MFG
Andavos