Para el log in tengo entendido que con mysql_real_escape_string pasar las $variables por metodo $_POST y un md5 para la password es sufuciente no? es necesario agregar algo mas?

Bueno y entonces para que complicar tanto eso de las seguridad de las sesiones si ya son seguras???