Salve a tutti,
ho provato a leggere un po di post relativi alla protezione di aree protette, e ho trovato 2 modi
di protezione per i dati e le pagine di un classico sito:

1. controllo dei 2 campi di un form tipo USER e PASSWORD con verifica di corrispondenti in un database access dei 2 campi: se trova uguali porta una sessione-relativa allo stato di TRUE.

2. protezione del database con password.

Io uso il primo metodo senza proteggere il file del database con password.

Visto che sono stato visitato da un cosidetto "hacker" in cui mi dice che la mia protezione è troppo semplice ed è facile bucarla.
Non capisco come si può entrare in una sessione pur non conoscendo la password, se lo stato di TRUE viene solo da un confronto positivo dei campi inviati dall'utente con il DB.

Volevo chiedere cosa posso fare per aumentare la sicurezza.
Proteggere tutti i file del db con la password?
In questo caso non serve + il controllo di password per la sessione?

Se le mie richieste sono impegnative potete indicatemi un sito o altro per capire di + sull'argomento.
Grazie.