Ich vertraue auf folgendes System:

• bei Accounterzeugung aus User-ID und Kennwort einen String erzeugen (z.B. mit Crypt: $hash=CRYPT($pass,$name); ), und daraus die MD5-Checksumme errechnen (z.B. $hash=MD5($hash);)
• diese Checksumme zusammen mit User-ID in Datenbank ablegen
• Login-Form zielt auf Script, welches aus eingegebenem Benutzernamen/Kennwort das Passwort neu errechnet
• zur User-Id gehörigen Hash aus der Datenbank ziehen und mit dem neu berechneten vergleichen

Sind die identisch, Session-Variable setzen, dass der User eingeloggt ist, ansonsten FM geben oder zurück zum Login-Form.

Gruß Christian