Как защитить сайт на php ,
Страницы админки закрыты по логину и паролю, которые хранятся в бд.
Все данные хранятся в БД.
Нужна защита от подбора паролей, те нужны все виды защиты, я сделал определение ip, рефа, частоту попыток ввода пароля.
Как еще можно защититься от подбора паролей?

Храни пароли в БД в md5
Дай 3 попытки для ввода пароля, если 3 раза введено не правельно пусть повляется CAPTCHA

а как тогда востанавливать забытые пользователем пароли?

Programmer_Hard
Никак, только через создание нового, "и это правильно"
Но по большому счету это не влияет на подбор, а вот CAPTCHA - (+1)

Высылать временный пароль, который будет действовать ограниченный период времени (например час).
И после удачной авторизации юзер сменит временный пароль.

Спасибо!
тогда получается так:
-пароли хэшировать
-ставить кэпчу на авторизации
-давать новый временный пароль на почту, в случае забывания. Затем пользователь может зайти как по забытому )) , так и по временному паролю. Если он не зайдет в течение 1 часа и не сменит пароль, то пароль останется прежним (забытым).

Самое сложное сделать кепчу, еще не разу не ставил (

Вариантов этого много, например не пароль временный, а генерить хитрый линк и по почте его, а кликнув в письме попадаешь на страницу где дают возможность менять пароль.
Еще секюрные вопросы/ответы сюда приплести и т.д. вариантов мона напридумывать массу, главное чтоб пользователей не сильно утомляло.


Ее не надо делать, просто поискать, даже поиск тут даст линки на готовые.