Att inte köra krypterade lösenord är nog faktiskt den största bristen i ditt system så det kan du nog fixa till
Du kan lika gärna köra sha1 (+ salt, helst dubbla) också eftersom det inte medför något merarbete.
Trial and error kan givetvis alla botar köra, vill du stoppa den möjligheten får du blockera användaren efter ett visst antal felaktiga inloggningar. Huruvida det är lönt eller inte beror väl mest på hur känslig informationen i administrationen är.
Sedan beror det ju lite på hur kollen på administrationssidorna ser ut.
Stripslashes? Magic quotes? Ska du ha en magic quotes-koll så lägger du det lämpligtvis i en inkluderad funktion istället.