Yo hago lo siguiente.
1: resivo el login y pass de mi cliente.
2: revizo en la BD si corresponde o no.
3: si es no pues que ingrese otra ves.
4: Si es si activo 3 sessiones una con su login otra con su pas y la ultima con el valor true ($autorizo=true).
5: Siempre uso $HTTP_SESSION_VARS["variable"] por seguridad.
6: Y siempre en cada página siguiente pregunto si $autorizo=true, obviamente con
$HTTP_SESSION_VARS["variable"]. Sino es true lo mando al index, donde pide el login y pass otra ves.
7: Existen metodos de encriptación, pero ellos son utiles si alquien quiere mirar la BD, eso no me preocupa, ya que sólo yo puedo "tocarla".
8: Que mas?..... Pues creo eso es lo básico.
No se me ocurre que más seguro.
9: Podrias chekear otras cosas como su IP hora de ingreso, y si se equivoco. Pues realmente no se me ocurre nada más. "eso no lo tengo implementado".

Bueno seria combeniente que señales otros puntos, haber que tal mejorar esto.

Saludos, Angel.
PD: si vas a encriptar Yo recomiento la libreria de encriptacion de GNU, si realmente quieres hacer algo MUY serio.
Si es serio, PHP tiene sus cosillas.
¡¡¡Quiere decir que lo mio no lo es¡¡¡ JAJJAJAJAJAA

Cayen a este tio .