ich hoffe das die DP dies NICHT so handhabt, ansonsten bin ich weg hier und lösche meinen Account.

Diese Datenbank sollte meinen Benutzernamen, einen MD5 Hash meines Passwortes und allerhöchstens noch meine EMail speichern.

Hat man ein Passwort vergessen so muß das PHP Script folgendes machen:

1.) Benutznamen abfragen und in DB nachschlagen
2.) neues Zufallspasswort erzeugen und als MD5 Prüfsumme in diese DB eintragen
3.) dieses Zufallspasswort an die eingetragene EMail Addresse versenden, nicht irgendeine im Script abgefragte EMail
4.) unter diesem Passwort darf man sich nicht real in der DP einloggen können, sondern nur eine Seite bekommen in der man dieses Passwort ändern muss

Nur so und nicht anders darf es funktionieren. Ich habe nämlich keinen Bock darauf das durch irgendeine andere Lösung die DP meine Passwörter an alle möglichen Hacker verteilt der mein sichtbaren Benutzernamen kennt.

Noch besser wäre es wenn man bei der Anmeldung ein zusätzliches Codewort eintragen muß. Dieses wird dann beim Versenden der neuen Passwörter ebenfalls abgefragt.
Desweiteren wäre es nochmals sicherer wenn in der Datanbank neben dem MD5 Hash noch ein Zufallssalt gespeichert wäre. Bei jedem Login muß dann auf Clientseite dieser Salt bei Server abgefragt werden und dann dieser Salt + Passwort in eine MD5 Prüfsumme umgerechnet werden. Dies verhindert das Hacken der Passwörter falls die DP mal hijackt wird.

Arty, was du also möchtest reduziert die Sicherheit aller Benutzerpasswört auf NULL.

Gruß Hagen