Mira el punto que más te tendria que preocupar es sobre la inyección, ya que por medio de la inyección pueden cambiar el password, otro metodo no conozco . El tema de encryptar los password es por si lo llegan a atrapar no les sirva de nada. Otra tecnica que conozco son los desfasaje (creo que era asi, en ingles ni idea) se trata de cambiar la pagina principal, no hace daño pero una vez echo tienes que volver a hacer la pagina desde cero ya que lo van a volver hacer, contra esto no te puedo decir nada ya que nose como se ataca pero tampoco te preocupes mucho ya que son pocos los que lo realizan y tampoco se basa como con las inyecciones ya que son bugs conocidos y ya estan parcheados (esto sucede en hosting de bajo presupuesto, no mantienen todo al dia). Te recomendaria que busques algo mas que nada contra las inyecciones, pero desde mi punto de vista estos ataques son gracias a los programadores despistados , ya que cuando se espera un valor que proviene de x lugar con un valor numerico no lo verifican o cuando esperan un string no mayor a 5 caracteres tampoco lo verifican, en fin, son cosas minimas que los grandes del background aprovechan (expreso mi admiracion a esta gente ya que encuentran algo sin que se les diera ningna pista, pero tambien quiero decir que los peligroso no son los hackers, los peligrosos son los que bajan algo echo por alguien que sabe y ellos solo apretan 2 botones, pero esto es otro tema ). Ah tambien te diria que busques sobre como hacer seguras las sessiones AQUI tienes algo que te sirvira, si logras entender lo que explican ahi y lo puedes pasar en blanco, lo agradeceria ya que no entiendo bien lo que plantean... Bueno si se me ocurre algo mas despues vuelvo a postear. Saludos y espero que no me alla ido mucho por las ramas y que te ayude en algo lo que dije.