Hasło do bazy w zasadzie jako jedyne nie powinno być filtrowane, z racji tego iż nie wiadomo jakie hasło zażyczy sobie user... Może ono się składać z każdego znaku,litery bądź cyfry... jednak jakoś trzeba takie pole zabezpieczyć przed wykonywaniem niechcianego kodu...

[PHP] pobierz, plaintext 
<?php
$haslo = mysql_real_escape_string(trim($_POST['haslo']));
?>
[PHP] pobierz, plaintext 

mysql_real_escape_string i trim wysatrczą? Czy może zablokować możliwość wpisywania znaków:



Bo to one stanowią chyba największe zagrożenie... Oczywiście hasło kodowane jest w MD5, ale każdy niepotrzebny znak powoduje zmiane hasha

Wystarczy to eskejpowanie, a po drugie nie chcesz zapisywac w bazie pustego hasla, tylko jakos zahashowane (np md5() ).
I nie uzywaj trim() bo co jak user wpisal w hasle spacje na poczatku/koncu?

I koniec tematu, coby user w to pole nie wpisał skrypt i tak dostanie ciąg hashu md5. Zero zabezpieczeń, żadnego escape'owania, trimów etc, nic nie jest tu potrzebne.