MD5 no es el único hash, php dispone de más funciones para crear diferentes hashes, además nada te impide concatenarlos, extraer fragmentos con substr, además hay hashes con diferentes longitudes.
además, multiplica el total de combinaciones que pueden darse en una cadena de 32 caracteres, son muchas.
como te indicaron, nada es 100% seguro, pero hasta que nadie descubra como vulnerar eso, se puede decir que es 99.99% seguro