Главное — всегда использовать подготовленные запросы и не забывать про кодировку utf8mb4, иначе потом всплывают кракозябры и баги с данными. Ещё проверка ошибок PDO реально спасает, когда что-то идёт не так — не приходится гадать, что случилось. И пароли в открытом виде — это вообще мрак, сегодня никак без password_hash() не обойтись. Так проекты стабильней будут и проще поддерживать потом.