Ronruby: y si un usuario malicioso pone un sencillo código en una pagina que sabe visitaras, tal como...

<img src="http://pagina.com/script.php?borra_post=23" />

(Incluso puede usarse bbcode como el del foro para generar eso) No hay modo de que veas la url de la pagina como tal, y es mas, ni siquiera necesitas dar click en ningún lado. Con que cargues esa "imagen" y estés logueado, adiós post.

Para eso mejor usar una protección contra CSRF (que es el tipo de ataque del que hablamos en este caso).

Jo, olvidaba el tema de la pregunta...

Para empezar, lee esto. Es una lista de las vulnerabilidades mas comunes en PHP. Con eso tienes un buen comienzo ;)

Sobre la contraseña, no solo uses md5 o sha1, haz uso de algun salt para hacer mas complicado su crackeo. Referencia 1 Referencia 2