La verdad es un tema complejo, por mas que hashees la contraseña si tu pc tiene un keylogger la saco.
pero enfocado a la seguridad web, el hash ayuda por si se hacen con tu base de datos, y mas que nada es un tema de ética profesional ya que detrás de todo siempre hay uno que otro informático y la mayoría ocupa las mismas claves para todo.
en el caso de la seguridad web hay que tener en cuenta como se menciono antes las posibles intruciones a traves del mismo codigo, como paso las variables, si son por POST o por GET? si van a traves de https o SSL etc... evitar las injecciones SQL es donde le dedicaria mas tiempo y a los ataques de fuerza bruta que le llaman etc.
tu debes proteger la integridad de tu base de datos, el proteger a cada uno de tus clientes es un tema complicado y más menos largo de explicar aquí.

siempre es bueno usar : mysql_real_escape_string(); stripslashes(); para limpiar las cadenas de texto que ingresan. el famoso get_magic_quotes_gpc();

etc..

Saludos