...чего тут говорить за шифрование паролей
Кстати есть идея, если позволите... Возможно, для нее нужно выделить отдельную тему, но не уверен, что идея хорошая. Суть в том, что мы для хранения данных используем отдельную базу, скрипты для работы с этой базой хранятся за пределами root-директории, предоставляется только API. Например, при работе пользователя запросы от него будут перехватываться этой системой и слать в обработчик уже готовый результат. Самый простой вариант - вызов скрипта через htaccess или php.ini, если есть к нему доступ. При обмене данными API дописывает к запросу свой уникльный токен, привязанный к IP. Когда пользователь загружает страницу, JS делает запрос к серверу, в котором содержится команда для API, на сервере перед выдачей результата запрос от пользователя перехватывается, выполняются какие то действия, подготавливаются данные, затем они подгружаются к запросу и осуществляется редирект. При этом нет доступа ни к базе, ни к скриптам, ни вообще к этой системе, ее как бы нет. Идея сырая, так...мелькнуло в голове... Как думаете?