АртемЪ: глупое решение, не хранить пароль в бд. А как идентифицировать пользователя собираетесь? Логины в бд есть, а паролей нет. В итоге никак не войти в свой аккаунт.
А автору советую делать следующее:
1. Если ты решил без пароля делать аккаунты. То делай авторизацию по почте. То есть, я ввожу почту и мне каждый раз приходит временный пароль на 1 час, день месяц. Который будет по истечению этого времени очищаться.
2. Делай отправку на почту так же, но храни пароль в сессии или в куках на какое-то время. А проверяй по хэшу пользователя, совпадает ли хэш из бд с тем же, что в куках или сессии.
3. Делай авторизацию по номеру телефона. Отправляй смс сообщения и присланный код юзай как пароль.
4. Делай 2 пароля. Эту мысль я придумал для своего проекта недавно. В базе данных храни пароль в зашифрованном виде с криптовкой AES-256 + ключ. Этот пароль сохранится в бд и его никто не расшифрует если не узнает сам ключ. А ключ уже пользователь будет хранить в голове, далее он вбивает ключ как обычный пароль и входит в аккаунт. А сам пароль в бд храни примерно так: aes256($pwd,$key)
Алексей Рытиков: в общем, я решил свою проблему другим способом. Я создал PHP скрипт, который будет пихать нужные CSS и JS файлы в одну кучу с кешированием.
Алексей Рытиков: обычный виртуальный хостинг от adminvps.ru. Долгого ожидания нет, не PHP скрипт, а просто .css или .js файл. Нет, скрипты не трогают эти файлы.
Нет, я не собираюсь делать сайт хранения секретной гос. информации. Я работал 3 года над сайтом по хак. тематике, я видел очень много примеров как взламывали сайт. И учитывая это, у меня уже есть примеры ошибок, по которым не надо следовать. Тот же сайт (3летний) пытались взламывать, sql-инъекциями и прочими методами, это и дало повод создать более хорошую защиту. А щас, я все это совместил в единое целое и знаю, как лучше защитить сайт от подобных вещей. Да, конечно 100% защиты я не могу гарантировать, но я постараюсь реализовать хорошую защиту. Я работаю не один, со мной уже еще 1 человек. Время покажет, может проект проявит себя. а может и нет. Главное, для студента-технаря 2-курса это будет большой опыт :)
