Hola de nuevo!!
Respecto a eso que dices de meter directamente la función resumen (09ba565ffdd5646d) como contraseña e ingresar en el sistema, no serviría porque se volvería a utilizar md5 y se crearía otro valor resumen respecto al valor resumen introducido....
Además, en la BD de los usuarios estaría en texto plano la contraseña y nombre de usuario. Con PHP se aplicaría MD5() a la contraseña obteniendo un valor resumen. Se compararía con el valor resumen enviado desde el cliente, y si son iguales CORRECTO!.
Ningun pass tendría k viajar por TCP/IP en texto plano.
Xaooo