mettere direttamente solo l'md5 o lo sha1 della password, oggi, non è più sufficiente

personalmente mi creo un bel digest ed utilizzo quello per riconoscere l'utente

il digest è creato tramite hmac-sha512 ed è la combinazione del nome utente e della password (l'hmac effettua un'ulteriore codifica utilizzando una chiave)

hash_hmac('sha512', $username . $password, $salt);