Moin,

Wenn es denn nur eine User/Passwort Kombination sein soll, dann reicht für die meisten Zwecke eine MD5Sum von User/Passwort + Session-ID (+ Client-IP)

Wenn ich das richtig verstanden habe, soll aber Passwort und Benutzername zur Anmeldung an MySQL sein? Dann geht dieser Ansatz nicht, weil das MySQL-Passwort in der Datenbank selbst bereits einweg-verschlüsselt liegt.

Wenn Du also wirklich wichtige Daten hast wirst Du um ein SSL Zertifikat nicht herumkommen. Liegt so um die 1.500 EUR/anno.

Ja, HTTPS wäre die richtige[tm] Lösung. Und ja nach Anwendungsfall brauchst du auch kein kommerzielles Zertifikat sondern kannst dir selber eins machen. Kostet nichts, und der einzige Unterschied ist, dass der Benutzer das Zertifikat bei der erstmaligen Benutzung bestätigen muss.

--
Henryk Plötz
Grüße aus Berlin