Originariamente inviato da Hornwind
$db = mysql_connect($db_host,$db_user,$db_password);

$db_password deve essere una stringa in chiaro...
Ma chi lo ha detto? Una pwd la proteggi dalla lettura sul db. Non dalla lettura su un file di connessione.

Puo' essere una stringa hash. Il db di mysql assegna un campo varchar(16) ma lo puoi ampliare a 32, oppure usare password() di mysql che crea hash a 16 byte, prossimamente anche MD5() potra' farlo.

Tieni presente che la connessione (mysql_connect) non avviene con dati passati da uno user, ma da uno script lato server con cui il client non puo' interagire. Ovvio che se lasci accesso al PC a chiunque, non necessita di password, ne in chiaro ne cryptate, per fare danni.

Il problema esiste nei dati passati dallo user. Anche se ora mi viene il dubbio di cosa voleva sapere Vre.