Muchas gracias kaninox.

He estado mirando estas tres,
:Ataques Denegacion de Servicio
:Flood
:Fuerza Bruta para Autentificacion
Y por lo que veo, basta con tener un control -registrando IP- para que no existan mas de X peticiones por segundo(s).

Lo complicado creo que es el Cross Site Scripting y Sql Injection. Que pesadilla...

Me falta mirar el ADministration Bypass.

¿Porqué sha1 para encriptar? He leido que es matematicamente mejor, por lo que mas segura, aunque siempre he entendido que md5 era bastante seguro.

También he leido, que es siempre mejor sha1 (o md5) desde php, y no en mysql, para evitar que alguien escuche la contraseña sniffeando.

Lo pongo por si a alguien le pueda servir, yo bien poco entiendo aún de todo esto.

Gracias otra vez.