Лучший способ хранить имя пользователя и пароль без базы данных

Простой текстовый файл возможен как вариант, и здесь это самое простое решение. Просто хэшируйте пароль (с солью). Это не может быть надежно расшифровано.

Вы можете использовать md5 PHP или sha1 для этого.

Вы можете сохранить его в файле и использовать хэш SHA1/SHA2, чтобы его нельзя было расшифровать.

user:<sha1hash>
user:<sha1hash>
...

Если вам нужно несколько учетных записей, простой текстовый файл будет проще, чем исходный файл PHP. Я думаю, вы беспокоитесь о людях, запрашивающих файл через свой браузер?

Проверьте, есть ли на вашем веб-хостинге какой-либо каталог, который не является общедоступным, например, родительский каталог, в котором находится фактический веб-контент. PHP обычно может читать и писать там, но он не будет доступен через Интернет.

Права доступа к файлам и/или файлы .htaccess (Apache) могут вам помочь если нет такого каталога, к которому у вас есть доступ.

Я предлагаю вам использовать функцию crypt для хранения пароля (хэша), а не чем хранение простых паролей. Это отдельная проблема от того, где вы их храните :)

• Вы можете использовать простой текстовый файл с хэшем или crypt. Это надежно, но не очень гибко, если у вас много пользователей.

• Вы также можете использовать SQLite, которая является базой данных, но не сервером и хранится в простом файле. Это хороший компромисс, если вы не можете установить SQL-сервер, но хотите хранить много пользователей и иметь больше гибкости.

• В зависимости от того, что вы хотите сделать, файл .htaccess может быть хорошее решение. Это уже безопасно, но, как решение для простого текста, оно не является гибким. Но он встроен почти во все конфигурации Apache.

Какова цель иметь имя пользователя, если есть только один пользователь?

С таким же успехом можно просто управлять разрешениями с помощью .htaccess...

(Это началось как комментарий Даниэлю ДиПаоло в ответ Мокучану.)

Если вы хотите сохранить пароль (независимо от места), вы используете следующую схему:

$hashedPassword = $соль. хеш ($ соль . $ пароль);

Место хранения хешированного пароля должно быть безопасным. Будь то в базе данных или в файле с соответствующими разрешениями.

Если это файл, ваша «запись» для пользователя bob с паролем secret будет выглядеть примерно так (с использованием BCrypt Hash):

bob:$2a$05$tlk4M8WSpVkO7ER6QGxcwuY91MrBCQn.TCDZ5eOM1iz2sCChtR62K

Никто не может «расшифровать» пароль. В этом весь смысл использования алгоритма хеширования: он необратим.

Вы утверждаете, что:

Есть несколько инструментов, которые пытаются расшифровать md5 и sha1, и, по крайней мере, в некоторых случаях они работают.

Поскольку алгоритмы хеширования необратимы, это невозможно. (Нет опции «расшифровать»)

Насколько я понимаю, вы имеете в виду инструмент, который просматривал хэш из предварительно вычисленной таблицы и возвращал допустимую входную строку, которая, вероятно, была вашим паролем.
Эти таблицы называются радужные таблицы< /а>. Их можно победить с помощью A) использования случайной соли и B) использования сильного алгоритма хеширования (например, хэш BCrypt или хэш семейства SHA2).

Для обсуждения этого см.: https://stackoverflow.com/questions/2768248/is-md5-really-that-bad

То же самое со всеми, кто говорит, что вы можете зашифровать пароль.

Кроме того, не помещайте файл в дерево документов. Поместите файл в другое место. Ваша PHP-программа по-прежнему должна быть в состоянии прочитать его, указав абсолютный путь или относительный путь, который идет «..», сколько бы уровней ни работала иерархия, а затем туда, где находится файл. (В Java-приложениях есть каталог WEB-INF, который удобен для хранения такого рода материалов. Я не думаю, что в PHP есть что-то подобное — я давно не занимался PHP-программированием — но вы можете всегда просто помещайте файл полностью за пределы иерархии каталогов вашего приложения.)

Не изобретайте велосипед, используйте этот http://pear.php.net/manual/en/package.fileformats.file-passwd.file-passwd-unix.php

Лучший способ сделать это

$password_hash = хеш ("sha256", "iamawesome"); // 4aa4029d0d0265c566c934de4f5e0a36496c59c54b6df8a72d9c52bdf0c1a0e8

$user_entered = hash("sha256", $_POST['пароль']); вернуть ($user_entered == $password_from_db);

hashin защитит ваш пароль..

подробная статья: http://wblinks.com/notes/storing-passwords-the-wrong-better-and-even-better-way