no es que sea la única forma de hacerlo, se puede mientras tengas en cuenta los siguientes factores:

-evitar SQL inyections: es decir que tienes que escapar las variables de la cadena SQL
-usar algoritmos de HASH para las contraseñas, como MD5, SHA1, afines.
-evitar el uso de sesiones automáticas, corresponde a session de PHP
-implementar bloqueos por intento, por ejemplo si el usuario falla 3 veces.

@lordglazoon: no es necesario Hashear el usuario, solo la contraseña.