Powinieneś nigdy przechowuj w bazie danych zwykły tekst, a nawet hasła do odszyfrowania, chyba że ty wygenerowały je, a użytkownik nie może wprowadź własny!
Najpopularniejszym sposobem jest przechowywanie skrótu hasła w pliku cookie, który również znajduje się w bazie danych. Pozwala to jednak każdemu zalogować się po prostu znając skrót - bez dostępu do oryginalnego hasła. Więc nie idź tą drogą, nawet jeśli jest to oczywiście najłatwiejsze.
Bezpiecznym podejściem byłoby przechowywanie losowego, unikalnego „haszytu logowania” w bazie danych i ustawienie tego skrótu oraz identyfikatora użytkownika w pliku cookie. To nie tylko sprawiłoby, że skrót hasła byłby bezużyteczny do logowania, ale także umożliwiłby utworzenie funkcji „wyloguj się wszędzie”.
