Quiero crear una tabla de usuarios con sus contraseñas para que sólo ellos puedan acceder a una serie de páginas php.
Mi duda es si tener una tabla con usuario/contraseña sin encriptar es suficientemente seguro. Si no lo es, me gustaría saber cuál es la metodología correcta para proteger las contraseñas...
Si conocen algún tutorial, manual o libro que explique claramente el tema de la seguridad mysql/php, por favor, recomiéndenlo...
Gracias!

hombre.... de por si seguro es, no mas que cualquier otro metodo, solo es una barrera mas, aunque si reconozco que cuando los usuarios saben que estan encriptadas son menos desconfiados, aunque la encriptacion es una barrera mas, no es infalible, se puede desencriptar.

Yo por si las moscas las guardo encriptadas en casi todos mis programas, depende del numero de usuarios previsto, si son amigos si que las encripto, ahora si puede ser cualquiera, hay casos en que no las encripto, por que si la gente se olvida es mas facil enviarle la contraseña en uso que generar una y despues que la cambien (aunque estoy planteandome el que vayan encriptadas), ya vere....


Y hay que ver como me enrrollo...

en lo que se refiere a manuales y demas.. no sabria decirte... si que hay una orden en php para encritar la clave.. y que cuando quieres compararlas, debes encriptar la clave que te da el usuario, y despues compararla con la clave encriptada que contiene la base de datos, ese es el proceso resumido...

esta es la url de la funcion crypt del php, es la que yo uso...
http://es.php.net/manual/es/function.crypt.php

Gracias por la ayuda...
Por otra parte, tengo otra duda/miedo que quizás me sepan contestar...
Cuando conectamos con la base de datos, la línea del archivo php contiene el nombre del servidor (normalmente localhost), el usuario y la contraseña. ¿No existe el riesgo de que alguien pueda bajarse el fichero php y leer el usuario y contraseña? Si esto es posible, ¿cómo suele evitarse? ¿Puede un "entendido" bajarse los archivos php y leer su contenido?
Gracias otra vez...

[cita title=Escrito originalmente por iogi35]Gracias por la ayuda...
Por otra parte, tengo otra duda/miedo que quizás me sepan contestar...
Cuando conectamos con la base de datos, la línea del archivo php contiene el nombre del servidor (normalmente localhost), el usuario y la contraseña. ¿No existe el riesgo de que alguien pueda bajarse el fichero php y leer el usuario y contraseña? Si esto es posible, ¿cómo suele evitarse? ¿Puede un "entendido" bajarse los archivos php y leer su contenido?
Gracias otra vez...[/cita]

bueno, en teoria, eso solo pasaria si el servidor de php no esta instalado, entonces si que podrian verte el codigo fuente del php...

de todos modos puedes hacer una cosa que te servirara para ahorrarte modificaciones el dia de mañana....

1.- Crea un archivo (ej: miconexion.inc.php) mete las opciones de conexion

ejemplo:

$ DB = mysql_connect ("mysql.webcindario.com", "tutusuario", "*******") {
or die ("Could not connect");
mysql_select_db ( "tubasededatos", "$DB");

o como lo tengas

2.- Haz un include de ese archivo... en cada pagina que lo gastes, de esa manera es simple y es mas dificil de que te lo detecten, si intentan abrir el archivo solamente saldra una pagina en blanco...

esa es una opcion...

Otra vez... ¡Muchas gracias!

Me has ayudado mucho; cuando empiezas a leer y hacer pruebas sobre el tema, siempre quedan muchas dudas prácticas, como estas de seguridad...

De nada....

Todos hemos tenido, tenemos y tendremos nuestras dudas y preguntas....