Mein registrierungs/login PHP-Script bezieht die Passwörter nun als md5-Hashes (ohne Salt dafür müssen Passwörter mind. 12 Stellen lang sein - in irgendeiner der letzten ct`s war mal ein Artikel das ab 11 Stellen Länge das knacken (praktisch)unmöglich wird).

Daher verstehe ich nicht recht welchen Vorteil das Abspeichern von Hashes statt Klartext hat. Es macht das Ableiten des Klartextes schon schwerer, aber das eigentliche Sicherheitsproblem liegt dann doch woanders?

Ja, dein Sicherheitsproblem besteht darin, dass du das Passwort für das Login per GET benötigst. mit "Hash fürs Login" ist vermutlich gemeint, dass die Session als Hash vorliegt und mit dieser eingeloggt wird - nicht mittels User/Password.