Hur man kan spara lösen i klartext år 2013 är helt ofattbart och borde vara olagligt.
Jag rekommenderar PHPs password_hash() som är mycket smidigt, enkelt och bra vilket jag själv använder:
http://www.php.net/manual/en/function.password-hash.php
Den använder blowfish och du har salt inbyggt. Jag använder 12 som kostnad och blockering av IP en timme vid 3 fel för att motverka brute force.
Alternativ om en gammal version av PHP används på servern:
$blowfish_salt = bin2hex(openssl_random_pseudo_bytes(22));
$hash = crypt($_POST['password'], "$2y$10$".$blowfish_salt);
// Vid inloggning
if (crypt($_POST['password'], $hash) == $hash) {
//Verified
}