En internet no hay náda seguro.

Lo que comentas de la contraseña, lo que haces es en el formulario introducir la contraseña real y por el script encriptarla para que se compare con la que está en la base de datos, a lo que este si es correcta te devuelve el valor y te deja pasar.

Bien si alguien intenta poner la contraseña que no es la que esta sin encriptar no le dejaria pasar, esta es la lógica

Ahora sabiendo eso, llegamos a lo siguiente, para poder hacerle la consulta a la base de datos tienen que conocer el Host, Usuario y Contraseña de la misma, normalmente esos datos se encuentran en un archivo que no es nada facil de poder mostrar ya que normalmente se hacen por medio del lado del servidor (PHP o ASP), y si intentar verlos te devolvera la página en blanco.

Por lo que si no sabe esos datos la unica manera de poder mandar la solicitud es metiendo un Inyector en los formularios de tu web, a lo que por motivos de seguridad en los formularios combiene "limitarles" el tamaño de caracteres, para no permitir códigos largos, y usar las propiedades de los lenguajes para limitar que no se utilice codigo HTML, PHP o ASP, para no poder usar etiquetas como include().

El tema de usar HTTPS, lo que hace es encriptar los datos directamente, aparte de que tu encriptes también, mas o menos por lo que he deducido de tu post, es que tu hosting no te probee la zona SSL, yo por ejemplo en el mio lo tienen como una página aparte, por ejemplo si mi dominio es http://www.midominio.com para poder enviar las cosas deberia de mandarlas por https://midominio.paginassl.com, mira que tu proveedor de hosting tenga algo similar, así podrias usar los 2 metodos para enviar datos de la manera "mas segura".

Esto no quita que no llege un listillo y te desmonte la página, pero almenos se lo podrás dificil.