Yo siempre encripto las contraseñas de mis usuarios en SHA1 y en realidad nunca te hace falta desencriptar las contraseñas, simplemente tienes que compararlas ya encriptadas. Pero de todas formas esa no es tu pregunta.

Puedes mirarte en relación a seguridad esto:
SQL Injection - http://es.wikipedia.org/wiki/Inyección_SQL
XSS - http://es.wikipedia.org/wiki/XSS

Estaría también interesante que colgaras aquí el enlace a tu web y nosotros mirar si se le pueden hacer esos dos ataques y darte soluciones específicas.