inanzitutto se hai solo gli md5 come riconosci l'utente?

in secondo luogo.. beh sì.. io utente "guidoz" per potermi autenticare come "gm" dovrei conoscere anche la password di gm. Se tu facessi l'md5 del solo username, io potrei fare l'md5 di qualsiasi useername ed entrare

In sostanza.. è la password che protegge davvero... ti basterebbe solo quella (con l'user per poterlo riconoscere).... anche non criptata