hej,
Kan hjälpa dig nu direkt om du vill, låter kul.
Gjort det flera ggr innan i massa olika projekt.
Har jobbat med olika projekt i PHP ca 15 år. Jobbat heltid de senaste 7 åren.
Är Zend Certified Programmer PHP 5.3 programmer.
Beroende på vad du skall göra och vad för ambitionsnivå du har är det flera saker man behöver göra för att få det säkert:
-> Lösenordet måste sparas i databasen hashat
-> PHP session_start() är inte så man brukar skapa en tabell för att spara sessionen och kombinera detta med cookies + session
-> Säkrast är att använda javascript för hashningen, så istället för att öppna en säker anslutning och skicka över lösenrodet till servern och sedan hasha det med PHP så låter man användaren hasha det med exempelvis sha256 med hjälp av javascript innan han skickar över det.
-> Sedan är det diverse saker såsom att skydda mot brute force, ha form_key på formulären så att man inte kan göra cross site scripting
-> När man får lösenordet från clienten hashat, brukar man sedan öka säkerheten ytterligare genom att ha en nounce sparat hos användaren (typ ett 20 siffrigt nummer nounce) så tar man sha256-(igen på clientsidan) ( det redan hashade lösenordet + den unika 20 siffriga numret)
Tror man kan gå hur långt som helst egentligen för säkerhet här egentligen, dock för de flesta praktiska tillämpningar, om man hashar på client side (med javascript) + hashar igen server side med PHP eller mySQL med hjälp av unik nounce så räcker det.