En general .. siempre que puedas resolver un problema de consultas a tu Base de datos (sea cual sea) vía SQL ..será más óptimo que realizar parte del proceso con algún lenguaje del lado del servidor (en estos casos PHP) .. Eso sería como norma general.

Los "motores" (manejadores) de Base de datos incluyen muchas funciones própias para hacer sus consultas bajo los criterios o funciones que desees aplicar (incluso hasta MD5() puedes usar en SQL directo de Msyql por si tus contraseñas las guaras así encriptadas .. Sin necesidad de extrare ese dato y aplicar md5() de PHP .. todo directamente sobre SQL y tu consulta).

A todo esto .. si lo haces directamente sobre SQL . podrías contar el total de registros que te va a entregar dicha consulta desde SQL también con COUNT(*) .. así podrías decidir si el usuario es válido o no de forma rápida .. si es válido ejecutas tu consulta típica con tu SELECT campo .... y tu mysql_fetch_array() o lo que desees. Sí, son dos consultas .. pero en los casos que la contraseña no sea válida .. el proceso es el más rápido para averigüar si dicho registro existe bajo esas condiciones (usuario y password).

Un saludo,