Sto progettando un sito intranet in un'azienda e tornano i soliti dubbi:

1) pur avendo cercato ovunque sul web e visto diversi articoli non ho trovato un sistema di login con le sessioni che sia ben fatto e sia sicuro;
- dato che non verrà utilizzato https:// mi sembra di capire che i dati che partono dal form fino ad arrivare al serve passano comunque in chiaro quindi ci sia poco da fare;
- utilizzare un javascript per criptare non lo trovo con molto senso dato che se un utente ha js disabilitato il sistema non funziona;
- è il caso di controllare i dati provenienti dal form con un htmlspecialchars?
- è il caso di criptare la password prima di inviarla al form?
- ci sono ulteriori metodi da implementare in MySQL per aumentare la sicurezza nella lettura/scrittura dei dati nel db?

2) una volta creato un buon login posso stare tranquillo utilizzando esclusivamente delle variabili di sessione per far accedere o meno ad alcune pagine del sito (in pratica ogni utente avrà un livello che gli permetterà di visualizzare o meno alcune parti di sito)

Ho letto anche questo articolo http://php.html.it/articoli/leggi/90...tenti-con-php/ ma è molto vecchio (2004). C'è qualcosa di simile ma più aggiornato?