[SimonP]

Som sagt, du bör använda SHA1 + salt på lösenordet.

Nästa förbättring är att du lägger på ett till fält (INT) i databasen, kan kalla det för "tries", och för varje misslyckat lösenord ökar du och updaterar databasfältet tries med 1, vid t.ex. 5 misslyckade försök sätter du tries-fältet till (time() + 1800) (för 30 min. låstid)

Innan varje inloggning kollar du sen typ:
IF (tries > time() ) die('Your account has been locked due to too many failed login attempts')

Vissa grupper, t.ex Admin bör inte skyddas av tries-låsningen, annars kan någon medvetet låsa ute Admin.

Ovan är det enklaste och, med mina ögon, bästa sättet att hantera felaktiga inloggningar.

Vill man göra det ännu svårare för botar/hackers måste man skapa en separat tabell där man även kontrollerar antal försök per IP-nr.