Orda biraz paranoya var gibi geldi bana. Ben kendi kullandığım yapıyı anlatayım.

Formdan doldurulan değerler veritabanında varsa, 4 session oluştur.
kullanici_id , giris , username , pass(şifrelenmiş hali)

Her sayfada sessionlardan bu değerleri alır, bu bilgilerle bir üye kaydı olup olmadığına bakarım. Sistem üzerinden şifre değiştiğinde de, otomatik olarak login'e atıyor haliyle, ki olması gerekende bu bence.

Benim sistemde, session'a müdahele edilse bile kullanıcının şifresinin şifrelenmiş halini bilmesi lazım ki sisteme girebilsin. Verdiğin linkteki yapıda da benzer işi üretilen kod yapıyor.

Ayrıca ordaki sistem botlara engel koymuyor sadece limitlendiriyor. 2sn'de bir işleme izin veriyor.