Si tenés la paciencia suficiente te vas a encontrar que hay mucha literatura al respecto.

Te tiro un par de tópicos para que busques, el resto sale por vinculos:

SQL injection
XSS (Cross-site scripting)
CSRF (Cross-site request forgery)

Con respecto a la fortaleza de los passwords guardados (y hasheados, obviamente), te diría que busques sobre 'salt', que básicamente es 'salar' la contraseña antes de hashearla, haciendo más complicado el ataque por diccionario/fuerza bruta.