Hallo Sven,

Und ein böser Angreifer, der diesen Klartext lesen kann, kann diesen String nehmen und bei mysql_connect einsetzen, um sich zu deiner Datenbank zu verbinden - genauso, wie du es auch kannst.

Natürlich kann man das Originalpasswort nicht mehr ermitteln - aber solange das verschlüsselte Passwort genauso gut funktioniert, ist das auch vollkommen egal.

Das ist immerhin schon mal ein kleiner Erfolg. Da das MySQL-Passwort gleichzeitig auch das FTP-Passwort bei all-inkl.com ist, kann jeder der das MySQL-Passwort hat auch meine Dateien ändern - also nicht nur die Datenbank.
Bestimmt ändert all-inkl.com das bald (auch dass man das MySQL-Passwort seperat ändern kann), ich werde auf jeden Fall dort den Support anrufen und dies für das neue KAS vorschlagen.
Derzeit ist dies bestimmt die maximale Sicherheit die ich erreichen kann.

Bis dann!

Marc Reichelt || http://www.marcreichelt.de/