premesso che ne capisco poco di php, quello che volevo evidenziare e' che lo scopo e' identificare lo user, quindi la pagina di login e' essenziale, il recupero della password e' una opzione.

Sarebbe pure opportuno commentare lo script in modo da far capire facilmente il susseguirsi delle azioni.

Per valutare la sicurezza di uno script di login e' indispensabile vedere tutte le pagine. Ma gia' che un amministratore possa leggere e decodificare una password tramite form mi fa ritorcere le budella.