Se meu sistema de Logins funciona com cookies, mesmo eu sabendo que, gravar login/senha em um arquivo de texto no computador-cliente não é seguro, estou me arriscando em questões de seguranças.

Em alguns artigos já li e vi que a criptografia pode ser uma solução para este meu problema, para que a senha seja gravada de forma que fique ilegível – criptografada, como quiserem – ao usuário que acessar o arquivo de texto (cookie). Baichei alguns scripts de Criptgrafia na Web, alguns não, quis dizer dois. Os adaptei ao meu sistema de Loguin, e, a princípio, funcionou. O usuário era reconhecido no banco dados, e o cookie era criado, mas desta vez com a senha criptografada. Na hora de refazer a verificação era só invocar (require) o arquivo da class de Criptografia para a 'desencriptar' e verificar se o usuário realmente existia e a senha estava correta. Deste modo eu pude proteger todas as páginas que são exclusivas dos Usuários cadastrados no banco de dados, desta vez com mais segurança.

Foi então que comecei a ter problemas – me desculpem; sou leigo em Criptografia http://forum.imasters.com.br/public/style_emoticons/default/blush.gif . Pude verificar que no caso deste login: murdok_rox (e os de outros 20) não estavam conseguindo se logar. Esses usuários, que por sinal usurfruem muito dos serviços exclusivos, vieram com bastante fervor me alertar sobre este problema. Eles digitavam senha e usuário, e tentavam se logar, porém o Cookie não era criado e retornavam à página de login sem acessar os serviços (como se fosse um Reload). Li, onde consegui essas duas classes de Criptografia, que poderiam sim, falhar.

Deichemos de embromação. A minha dúvida é a seguinte: é conveniente criar uma pseudo-criptografia? Explico-me. Uma função simplesíssima que substituísse as letras do alfabeto com a função str_replace por quaisquer três caracteres, por exemplo:

function pseudocrypt($login) {

 $login = str_replace("a", "%$@", $login);

 $login = str_replace("A", "%$@up", $login);

 

 ...

 

}

o mesmo acima com a variável $senha...

function pseudo_uncrypt($login) {

 $login = str_replace("%$@", "a", $login);

 $login = str_replace("%$@up", "a", $login);

 

 ...

 

}

o mesmo acima com a variável $senha...

Por outro lado, no Script que efetua o cadastro, eu teria que exigir que o nome de usuáro contesse ao menos uma letra. Bom, é isso... queria saber qual a opção seria a 'melhor' para mim: Reprogramar o Sistema usando Sessions, ou criar essa pseudo-criptografia ? Ou então qualquer outra recomendação, como por exemplo, uma criptografia que não me falhe, se é que isto existe.

Obrigado,