Hi kEv*!

wie wahrscheinlich ist es das das im Klartext übertragene Passwort agefangen wird?

Keine Ahnung. Aber allein die Möglichkeit reicht aus. Deine Kontodaten möchtest du doch auch sicher übertragen. Wenn ich ein Passwort eingebe, will ich, dass damit verantwortungsvoll umgegangen wird.

Die Js Variante stellt mich vor ein neues Problem.

Das war nur ein Vorschlag. Das wäre nur das i-Tüpfelchen. =)

Das Javascript müßte ja aber mein Form doch wegschicken und mir den generierten Hash irgendwo als $_POST Variable zur Verfügung stellen.

Im Prinzip kannst du den Beispielcode von dem verlinkten Artikel übernehmen. Mit dem Unterschied, dass du das md5-Input-Element auf hidden setzt:
<input type="hidden" name="md5_password" value="" />

Der Submit-Button muss so aussehen:
<input onclick="doChallengeResponse(); return true;" type="submit" name="submitbtn" value="Anmelden" />

Serverseitig prüfst du dann, ob das Passwort verschlüsselt übertragen wurde. Wenn ja, dann prüfst du damit in der Datenbank [1], wenn das Feld leer (empty) ist, dann musst du es erst noch verschlüsseln.

Ich seh es nicht. Oder ich habe mal wieder Tomaten auf den Augen.

Everythink klar?

[1] Achtung! Hier _musst_ du mit mysql_real_escape_string escapen! Du MUSST! Hallo, hör mir zu! DU MUSST! ;-)

MfG H☼psel