Enviar datos cifrados

Hola gente, les hago una pregunta que quizás es algo "inocente":

Tengo un sistemita andando en PHP y quisiera mejorarle la seguridad enviando las passwords cifradas. Lo que pretendo es usar la función MD5 de PHP. De hecho la uso y almaceno en la base de datos los passwords cifrados. Pero cuando el usuario ingresa su password este viaja en texto plano.

Lo que no me doy cuenta es cuándo cifrar el dato. Es decir, yo tengo un formulario, allí el usuario escribe su password, pero yo no puedo procesarlo (o sea aplicarle la función MD5) hasta que no haya pulsado el botón "Enviar". O sea, yo debería ANTES de que el usuario presione el botón de "Enviar", hacer algo asi:

$passcifrado=md5(?????) ¿Qué pongo entre los paréntsis? Porque la variable $_POST['pass''] no existiría hasta que el usuario presione "Enviar" ¿o no?

Bueno como verán se bastante poco de seguridad informática, les agradezco de antemano la ayuda.

Tomás.

bueno... esa encriptación debes hacerla en el script donde recoges las variables.
O sea algo así:

<form method="post" action="proceso.php">
<input type"text" name="nick">
<input type"password" name="pass">
<input type"submit" value="Entrar">
</form>

y en proceso.php recién encriptas:

$pass=md5($_POST['pass']);

y haces la consulta a la bd y todo lo que sigue...

saludos

Hola,

Lo que tienes es usar javascript para codificar el valor del campo. Existen por ahi ficheros .js con la funcion MD5.

Aunque esto no es del todo seguro. Lo mas seguro es usar servidores seguros, y realizar las conexiones a HTTPS. De esta forma todos los datos van encriptados "automagicamente".

Saludos.

A jpinedo: Claro pero una vez que tengo la variable en proceso.php ¿no se supone que ya viajo desde el cliente al servidor? ¿y si alguien la interceptara en el camino?

Bueno... tienes razón... como verás yo sé menos de seguridad... sólo que había una pregunta que se estaba repitiendo últimamente en el foro... y era ¿si encripto el pass para guardarlo en la bd... cómo lo desencripto pa validarlo?... y tú preguntas algo más avanzado que eso... lo siento, no me fijé bien.. estaré más atento pa la próxima...
Además voy a leer algo sobre lo que puso josemi porque ya me interesó el tema...
saludos

Tomas...

Como te comentó josemi .. para el tramo entre cliente-servidor debes usar SSL (Secure Socket Layer) (https:// ....) Ese soporte SSL lo dá tu servidor HTTP que uses y .. que para ser ademas de "seguro" confiable necesitas de un certificado asociado y válido que te lo otorga (previo pago$$) alguna empresa acreditada (Verysig.com .. y sitios así).

El soporte SSL es "transparente" para tu programación en PHP (en general para cualquier lenguaje del lado del servidor .. sea PHP, Perl, etc) .. Así que por parte de PHP no necesitas nada extra. Sólo colocar tus scripts y formularios HTML en la zona "https" que tengas definida en tu servidor ...

Un saludo,