Linuxer+2008-01-23 15:58:41--

[...]
Klartextpasswörter sind immer eine schlechte Idee.

Speicher einen aus dem Passwort mit crypt() erstellten String in einem String im Skript.

Wenn das Passwort als Parameter übergeben wurde, wendest Du nochmal crypt() an und vergleichst das Ergebnis mit dem gespeicherten String.
[...]

Die Übertragung des Passwortes im Klartext vom Client zum Server ist aber auch keine gute Idee, es sei denn die Verbindung ist bereits authentifiziert und verschlüsselt, zum Beispiel mit SSL.

Für ungesicherte Verbindungen wäre ein Frage-Antwort-Protokoll besser: Der Server schickt einen Schlüssel an den Client, welcher damit das Passwort verschlüsselt und an den Server zurückschickt. Das ist natürlich bei Webanwendungen etwas umständlich zu bewerkstelligen, aber es hilft gegen Replayattacken.