насчет первого - SHA1 считает надежнее чем MD5. В тоже время MD5 - больше совместим с любым другим приложением.
Так что если важна безопастность и без разницы на возможность использовать пароль в интеграции с другими приложениями - SHA1.
Persistent или Non-persistent:
В первом случае клиент создает устойчевое соедение с БД и все запросы идут в рамках данного соеденения.
Во втором случае, каждый новый динамический запрос порождает новое соединение. Это является в каком-то смысле безопастней, т.к. после каждого запроса сервер разрывает связь автоматически.
Постоянной коннект требует достаточно хороших знаний при настройке - если произойдет сбой и клиент не выйдет нормальным путем, то такое соединение может весить до 8 часов (по умолчанию). В результате может вообще не оказать ресурсов для инициирования новых коннектов(или как минимум реально затормозить сервер). Однако, при корректном использовании постоянный коннект может ускорить работу, т.к. исчезает надобность каждый раз посылать служебную информацию, ждать ответа на нее и т.п. То есть, если вам требуется большая производительность и вы уверены, что сможете без ошибок настроить движок (а так же все модули) - используйте pconnect.