es ist nciht os, dass niemand zugriff dazu erlangen könnte. außer du speicherst die daten in einem geschützten verzeichniss und/oder speichers md5 oder änliche checksumes der passwörter - in welchem falle selbst das erlangen der schlüsseldatei nicht so kritisch wäre.
zudem ist es performancemäßig ein disaster, wenn man es mit dutzeden users macht.

bei paar wenigen reicht aber widerum .htacess -schutz

MFG
bleicher

Der in seinem anderen Thread gepostete Code liess keine Rückschlüsse auf Mängel zu.
md5 wird verwendet.

Bemängeln würde ich das Format seinen testfiles, indem er '|' als Datensatztrennzeichen verwendet, ohne dass die Nebenfolgen ('z.B. ein username enthält '|') behandelt werden.
Hier wäre ein anderes Datenformat angesagt.
z.B.
<username>   </username><password>   </password>

Auf jeden Fall ist es immer Ratsam, nicht nur Werte abzuspeichern, sondern Parameter Name und Wert zusammen abzuspeichern. Das macht solche Datenfiles viel besser aktualisierbar und erweiterbar.

Das Textfile kann/soll natürlich ausserhalb von http root abgelegt werden.

Was ich noch einbauen würde, wäre im Falle eines falschen Passwortes ein sleep(5) (das ist jetzt perlisch). was schon mal Wörterbuch-Atacken ausbremsen kann.

mfg Beat