[PHP]Strona na hasło ---> ocena skryptu Opcje

[franz87]

Witam,zrobiłem pewną stronę dla kilku znajomych.Mam tam pewną podstronę,którą chciałbym,żeby była chroniona hasłem.
Na php się zabardzo nie znam,ale zdołałem napisać krótki skrypt,który działa,ale wymaga kilku poprawek.Działa on na jednej instrukcji warunkowej if else.
Moje pytanie,czy kod przedstawiony poniżej,jest w miare bezpieczny i może być zastosowany w takiej stronce domowej?
Na tą stronkę będzie wchodziło góra 5 osób,każdy będzie miał to samo hasło,które jest sztywno wpisane w kod skryptu,więc żadana baza danych nie jest mi potrzebna.Login'ów tez nie będzie.Oto skrypt:

[PHP] pobierz, plaintext 
<center>
<?php
$haslo = trim($_POST['haslo']);  
 
 
echo '<form action="" method="post">
<input type="text" name="haslo" style="width: 100px;" /><br />
</textarea><br />
 
Wpisz haslo:
<br>
 
<input type="submit" value="Zaloguj/Wyloguj" />
<font>';
                                                                       [color="#FF0000"]  \\tu do zmiennej $haslo wpisuje haslo(JAKIES_HASLO)[/color]
if($haslo == JAKIES_HASŁO)
{
 
?>
 
// tu wykonuje sie kod html strony
 
<?php
 
}else
 {
 
}
[PHP] pobierz, plaintext 

Tak jak mówiłem wszystko działa,moje pytanie czy skrypt ten może być zastosowany w stronie domowej,tak aby był w miare bezpieczny?
Jest jeszcze jeden problem.Gdy po raz enty wchodze na strone i wpisuje haslo wpisując pierwszą litere hasła,system już mi podpowiada co mogę chcieć wpisać i widać poprzednie haslo ktore wpisalem.Jak temu zaradzić?

PS:Wiem ,że na necie są gotowe skrypty stron z hasłem,ale fajnieby było jakby pomogliście mi zmodyfikować ten zrobiony przeze mnie

Pozdro

[netmare]

Algorytm md5 służy do tworzenia funkcji skrótu, czyli czegoś co działa w jedną stronę i nie daje się odkodować. Problem w tym że w necie są słowniki skrótów md5, więc jak wejdziesz na taką stronę i wpiszesz jakiś skrót to są szanse że wyświetli hasło odpowiadające temu skrótowi. Aby zapewnić że skrót nie wystąpi w żadnym słowniku warto dokleić sobie coś do hasła jeżeli hasło brzmi hipotetycznie "dom" to na pewno odpowiadająca mu suma figuruje w tych słownikach, a jeżeli dokleisz szum (w przykładzie 'mójszum') do hasła to powstanie skrót ze stringa 'mójszumdom', a to już raczej nie figuruje w słowniku. Wyświetlasz sobie przez echo md5('mójszumdom') to da 87cdadec60171668d99d86b5fa556d7d
i potem porównujesz czy suma kontrolna odpowiada tej powyżej

[PHP] pobierz, plaintext 
if(md5('mójszum'.$haslo) == '87cdadec60171668d99d86b5fa556d7d')
{
 // jeżeli przesłane zostało poprawne hasło
}
else
{
 // w każym innym przypadku
}
[PHP] pobierz, plaintext 

i pomijając stwierdzone w funkcjach skrótu występowanie kolizji masz pewność że do strony ma tylko dostęp osoba która wie że hasło do strony to 'dom', a mając nawet dostęp do źródła strony nie jest w stanie poznać hasła.