Allora, premetto che nuovo, ho provato a cercare nel forum ma non ho trovato nulla...

Mi è capitato di inserire in un form un campo nascosto con l'hash md5 della password usata dall'utente attualmente loggato.

Il form serve per permettere all'utente di cambiare la password.
Il campo nascosto serve come ulteriore misura di sicurezza in quanto il form chiede all'utente di inserire prima la password corrente e poi la nuova password. In questo modo la password corrente inserita dall'utente viene confrontata con quella del campo nascosto. per essere sicuri che non si incappi nel caso che l'utente lascia il computer acceso e loggato e qualcun altro prova a cambiargli la password.

Premesso che alla fine ho optato per usare una variabile di sessione (che dovrebbe essere la scelta più logica) invece del campo nascosto, la mia domanda è più che altro accademica:

che rischi di sicurezza si corrono a mettere un hash md5 in un campo nascosto di un form?
Cioè, direttamente non può essere usato perché tanto lo script di login farebbe un md5 del testo inserito nel campo password...

La parola agli esperti :-)