To heslo tam má asi smazané schválně a i kdyby ne, určitě to zkouší na localhostu a tam je to jedno, teoreticky má přístup zvenku třeba zakázany v apache nebo ve firewallu.
Nepoužívá md5, ale používá správně to, co používat má (i se solí).
Prepared začal používat na začátku
Kontrolu vztupu tam nemá, no, nemá tam ani ověření jestli je už uživatel v databázi.
Jako já bych to udělal taky úplně jinak... Na netu je hromada příkladů, stačí nějaký napodobit...