Originariamente inviato da JANUS70
quindi tutto stò discorso sulla sicurezza delle password, è indirizzato all'unica ipotesi che un maleintenzionato riesca ad entrare nel DB .. trovando così la sorpresa delle password criptate ..

e il discorso del così detto "Man in the middle" ?
.. che il criptaggio avviene solo nel server, e non nel browser .. per cui "in viaggio" la password potrebbe essere intercettata ?

ultima cosetta ..
se uno riesce ad entrare nel db che stà nel server (che immagino abbia delle protezioni, oltre alla password che gli imposto io) mi verrebbe da dire che è anche in grado di vedere il codice in php (è proprio per questo che chiedevo se il codice sia leggibile da maleintenzionati)
MiM è sempre in agguato.
Per aggiungere sicurezza al transito dei dati tra client e server puoi usare HTTPS.

Se qualcuno ha accesso "fisico" al server, anche con tutte le protezioni del mondo prima o poi riuscirà a fare quello che vuole fare
Diciamo che se un hacker riesce ad accedere al server con una shell, è in grado di fare bene o male tutto quello che vuole, compreso leggere (e modificare!) il codice Php.
Di solito comunque chi ha interesse ad accedere a un server difficilmente ha interesse nel codice Php. Più probabilmente ha interesse agli indirizzi email o account di carte di credito o comunque dati sensibili e importanti. Altre volte invece sono interessati a guadagnare una shell per aprire backdoor sul server, in modo da usarlo come ponte per attaccare altri server.
Nella mia piccola esperienza di sicurezza informatica, non mi è mai capitato di vedere un hacker entrare in un server e analizzare codice Php, mentre è successo spessissimo di vedere "attacchi" ai firewall (per aprire una backdoor) o ai database (per recuperare indirizzi email e...password cripatate!).