sytuacja wygląda tak:
na red hacie 9.0 mam baze mysql, którą obsługuję za pomocą przeglądarki internetowej (Mozilla z php) - nie ma żadnego połączenia z netem, ani siecią, problem dotyczy uwierzytelniania użytkownika (nie nawiązuję stałego połączenia z bd!!)
-start: użytkownik podaje hasło i login do bd, które za pomocą FORM (bez szyfrowania) przekazuję do kolejnej podstrony i nawiązuję połączenie z bd - jeśli połączenie przebiega pomyślnie to ok, jeśli nie to but :)
i teraz jest problem:
co wybrać??...bo wszystkie wersje i tak są do bani :( :
-wersja1. podane powyżej hasło i login lądują w pliku (nie zaszyfrowane) i za pomocą nich wykonuję kolejne połączenia z bd (a po wyjściu z przeglądarki plik jest kasowany)
-wersja2. wykorzystuję include()
-wersja3. pozostawiam w otawartym kodzie php hasło i login do bd rezygnując tym samym z bezpieczeństwa (cała nadzieja w logowaniu do OS)

mała dygresja: w tym wszystkim chodzi mi przede wszystkim o bezpłatność całego systemu; chyba wykorzystam wersję 2 i będę się modlił, żeby nikt niepowołany nie dostał w łapy pliku z loginem i hasłem...
za odpowiedzi z góry dziękuję!
mój mail: bomalal@wp.pl_wyrzuc_to

a nie mozesz wszystkich plikow konfiguracyjnych razem z haslami trzymac poza drzewem www? skoro laczysz sie przez przegladarke to moze warto dorobic autoryzacje poprzez .htaccess i zezwolic na polaczenia z baza wylacznie przez localhost? jeszcze warto uszczelnic apacza i to powinno wystarczyc. jezeli to Ci nie wystarcza to mozesz jeszcze zmusisc apacza do szyfrowania polaczen.

cały mój problem polega na tym, że nie jestem przyzwyczajony, żeby user miał dostęp do kodu źródłowego (bo nie ma skutecznego sposobu, żeby zabezpieczyć sie przed wyświetlaniem źródła strony) i właśnie o to rozbija sie całe bezpieczeństwo, idealnym rozwiązaniem byłaby możliwość szyfrowania i odszyfrowania hasła i loginu, ale z tego co wiem to w php można tylko szyfrować, więc i tak do bani... popróbuję tak jak piszesz z .htaccess, a miałbyś jakiś pomysł, jak zaszyfrować pliki *.php, tak, żeby nawet 'root' (RH9.0) bez hasła nie miał do nich dostępu?

no wiec tak:
1. wszelkie operacje na bazie danych i tak sa przechowywane w postaci jawnej w logach bazy, a w szczegolnosci loginy i hasla.
2. w php mozna zarowno szyfrowac jak i deszyfrowac dane, odsylam do manuala, w ktorym sa opisane odpowiednie funkcje, badz proponuje napisac wlasna,
3. swoja droga nie za bardzo rozumiem, po co sie tak bardzo bronic przed rootem skoro on i tak z logow moze wyczytac login i haslo ktore przychodzi z formatki,
4. zrodlo strony mozesz zabezpieczyc poprzez uszczelnianie apacza, mozesz rowniez dodatkowo uzyc z ktoregos kompilatora kodu, pare dyskusji na ten temat bylo na forum,