ciao a tutti...

allora... io sto facendo un area protetta da password... e ho questo form:

Codice PHP:
<form action="login.php?vai=controlla" method="post">
Username <input type="text" name="username">

Password <input type="password" name="password">

<input type="submit" value="Login!">
</form
e per verificarle faccio:

Codice PHP:
$username $_POST[username];
$password $_POST[password];
//conto quanti utenti ci sono con questi dati 
$query_verifica_dati=mysql_query("SELECT COUNT(*) FROM user WHERE username='$username' AND password='$password'");
$verifica_dati=mysql_result($query_verifica_dati,0,0);

//se non ci sono utenti con i dati inseriti
if ($verifica_dati=="0") {
echo"USERNAME O PASSWORD EARRATI";
}

//se c'è l'utente con i dati inseriti
if ($verifica_dati=="1") {
$query mysql_query ("SELECT * FROM user WHERE username='$_POST[username]' AND password='$_POST[password]'") or die("Tabella non Trovata");
$rows mysql_fetch_array($query); 
//creo le sessioni
$_SESSION['utente'] = $username;
$_SESSION['password'] = $password;
$_SESSION['livello'] = $rows[livello];
$_SESSION['stato'] = 1;

// QUA HO UN CODICE JAVASCRIPT CHE MI EFFETTUA IL REDIRECT ALL'AREA PROTETTA 
ora... vorrei sapere 2 cose:

1- questo codice credo sia il meno sicuro sulla terra :-) mi sapreste indicare qualche modifica da fare per renderlo un po' più sicuro?
2- se la mia password fosse criptata con MD5 nel database? come faccio a fargliela controllare e a memorizzarla nella sessione?

grazie mille anticipato :-)