[php mysql] Zaawansowane logowanie Opcje

[ujex]

Witam!
Właśnie zabieram się za stronę na której będzie logowanie do panelu i potrzebuje stworzyć skrypt odporny na wszystkie ataki (niestety nie mogę wykorzystać szyfrowania).
Chciałbym się w związkyu z tym dowiedzieć od was jakie znacie metody włamywania się, a co za tym idzie zabezpieczania logowania.

Z tego co narazie wymyśliłem to po zalogowaniu generuje jakiś klucz umieszczam go w bazie w sesji a następnie porównuje, dodatkowo sprawdzm ip czy jest takie samo od poczatku

Z góry dzięki za wskazówki

[delfinium]

Ja kiedyś spróbowałem takiej metody. Przy logowaniu hasło zostało zamieniane na md5 i w takiej postaci przesyłane na serwer. I myślałem, że to super i nie do obejścia. I guzik. Pominę fakt, że podczas logowania trzeba było dociągnąć 2 js z algorytmem md5, bo te kilkadziesiąt kb można raz przeboleć. Jeśli ktoś "podsłucha" przesyłane dane logowania to jest o tyle lepsza sytuacja, że nie zobaczy hasła odkodowanego. I moim zdaniem tyle korzyści z tego. Dla jednych to już dużo dla mnie nie. Wolę inne rozwiązania. W miarę możliwości ograniczyć dostęp do panelu logowania dla wybranych IP, w określonych godzinach. Określić maksymalną liczbę prób logowania a potem blokować dostęp do strony. Wymuszać co jakiś czas zmianę hasła i określić reguły - minimalna długość, niepowtarzalność i żeby nie było podobne do loginu. Wymaga to więcej pracy ale moim zdaniem lepsze rozwiązanie. A już super jak serwis działa na https, ale to jednak nieliczni chcą wykupić cert za kilkaset USD.