Hola, si PHP y la base de datos los tienes en el mismo servidor no hay por qué preocuparse por el intercambio entre estos dos servicios ya que ambos se encuentran en el mismo equipo, otra cosa sería que estuviesen en distintos servidores.

Probablemente te refieras a la comunicación entre el cliente (el navegador del usuario) y el servidor. Actualmente no hay ninguna manera infalible, ya que se pueden robar los datos con una facilidad increible. Lo que hay que conseguir es que esos datos "secretos" estén cifrados de la mejor manera posible, pero desgraciadamente el que sepa va a poder saber lo que se envia.

Usa una libreria segura, como crypt o sha512 para hashear la contraseña, lo demás tambíen puedes hashearlo pero no suele hacerse.

No vale de nada hashear una contraseña en el servidor, ya que los datos ya han sido enviados en texto plano... Si, claro, para no guardarla tambien en texto plano, pero el daño ya está hecho. Aquí tienes una buena implementación en javascript de SHA.

Para protegerse de las tablas rainbow, podria saltearse el hash también en el cliente (y de nuevo en el servidor por si se roba y se usa para iniciar sesión), pero el problema sería de donde sacas el primer salt y como lo envias al servidor... Estaríamos en las mismas. Si a alguien se le ocurre como solucionar este problemilla que lo comparta.

En el cliente:
- Contraseña -> javascript -> SHA512 hash -> POST.

En el servidor:
- Generar random salt -> Saltear hash (hashear de nuevo el hash junto al salt).

Si necesias un ejemplo luego lo pongo.