Hallo,

Wenn es denn nur eine User/Passwort Kombination sein soll, dann reicht für die meisten Zwecke eine MD5Sum von User/Passwort + Session-ID (+ Client-IP)

Wenn ich das richtig verstanden habe, soll aber Passwort und Benutzername zur Anmeldung an MySQL sein? Dann geht dieser Ansatz nicht, weil das MySQL-Passwort in der Datenbank selbst bereits einweg-verschlüsselt liegt.

Ja und?
Wer es direkt hin schickt, ist selber schuld.

Das meint, das User/Password von MySQL nie direkt herausgegeben werden darf, nur über einen Umweg, da MySQL auch direkt ansprechbar sein kann.

BTW: "Gehtnichgippsnich!" ;-)

Wenn Du also wirklich wichtige Daten hast wirst Du um ein SSL Zertifikat nicht herumkommen. Liegt so um die 1.500 EUR/anno.

Ja, HTTPS wäre die richtige[tm] Lösung. Und ja nach Anwendungsfall brauchst du auch kein kommerzielles Zertifikat sondern kannst dir selber eins machen. Kostet nichts, und der einzige Unterschied ist, dass der Benutzer das Zertifikat bei der erstmaligen Benutzung bestätigen muss.

Genau da liegt das Problem "[...] das der Benutzer das Zertifikat bei der erstmaligen Benutzung bestätigen muss".

Da läßt sich keiner drauf ein. Man beschaue sich nur die ganzen Warnungen, die die großen Browser loslassen, wenn sie auf ein Zertifikat stoßen, das nicht in ihrer Liste ist! Dem unbedarftem User kräuseln sich dabei doch die Fußnägel!

so short

Christoph Zurnieden