quindi tutto stò discorso sulla sicurezza delle password, è indirizzato all'unica ipotesi che un maleintenzionato riesca ad entrare nel DB .. trovando così la sorpresa delle password criptate ..

e il discorso del così detto "Man in the middle" ?
.. che il criptaggio avviene solo nel server, e non nel browser .. per cui "in viaggio" la password potrebbe essere intercettata ?

ultima cosetta ..
se uno riesce ad entrare nel db che stà nel server (che immagino abbia delle protezioni, oltre alla password che gli imposto io) mi verrebbe da dire che è anche in grado di vedere il codice in php (è proprio per questo che chiedevo se il codice sia leggibile da maleintenzionati)