Duda con usuario/contraseña en formulario PHP

Hola a to@s,

estoy haciendo mi primer formulario en PHP y tengo varias dudas.

1- Primero me centre en chequear si una direccion de correo es valida, y ahora que ya lo tengo resuelto estoy liado con el usuario y contraseña. Mi pregunta es;
Cuando te registras en paginas te indica que el usuario debe de tener un numero determinado de caracteres, sin espacios, etc. Es esto necesario ?? Que problemas me puedo encontrar??

2- Que tipo de datos es recomendable para el usuario y contraseña en MYSQL, CHAR o VARCHAR. Esta eleccion influye en la pregunta anterior???

Joe parece que he redactado las preguntas de un examen.....xDxD

Yo le doy vueltas y supongo que el numero de caracteres es para que no sobrepases el numero de caracteres que he definido en MYSQL, pero hay paginas que no se aceptan con menos de 4 o 6 caracteres . Porque ???

Me podeis indicar lo recomendable para tener unos "buenos" USUARIOS y CONTRASEÑAS.

Gracias de antemano.

Yo te puedo decir como lo hago yo. Para el usuario uso varchar(10) y para la clave varchar(75) porque la codifico con alguno de los algoritmos que hay como md5.

Los requesitos que uso son que usuario y contraseña deben tener entre 4 y 8 caracteres y nada de espacios en blanco.

Espero que te sirva

No hay un porqué desde el punto de vista del desarrollo.

El tema de poner usuarios y contraseñas de más de 4 o 6 caracteres es cuestión de seguridad. Más caracteres = más trabajo para un cracker, por ejemplo. Todo lo que sea relacionado con el formato de la contraseña tiene que ver con políticas de seguridad, en general.

Ahora el tema de la base de datos, tenés que poner un límite porque no vas a reservar 255 caracteres para almacenar un nombre de usuario que quizás no tenga más de 10. Y ese límite se tiene que reflejar en el formulario, por supuesto.

Por otro lado fijate si te conviene (para tu proyecto y diseño) que un usuario tengaunnombredeusuarioasidelaaargo o mejor que queden cortitos, más prolijo.

Acordate de no almacenar las contraseñas en la base de datos sin cifrar, y en lo posible utiliza un método no reversible, como md5() o bien md5(md5()). Si el usuario se olvidó la contraseña generás una nueva y listo..

Éxitos con eso. Saludos.

Ok, muchas gracias por la respuesta, me habeis aclarado bastantes cosas. Por ejemplo no sabia que habia que codificar la contraseña.

Muchas gracias a los dos. Voy a probar si me sale el codigo.

Para reservar el espacio de la contraseña, debes saber esto:
- md5 SIEMPRE generará una cadena de 32 caracteres, da igual lo larga que sea la contraseña, el resultado de md5 siempre serán 32 caracteres.
- sha1 SIEMPRE te devolverá 40 caracteres
Sabiendo esto, no hace falta que reserves 75 caracteres, nunca llegará a esa cantidad.

saludos

Ok, doobie, iba a preguntar yo si la cantidad de caracteres de md5 y sha1 era siempre la misma, si era constante, y por lo que dices asi es.

Otra cosa que queria preguntar es que he leido que es mas seguro que el md5 o sha1 se haga con Javascript en el lado del cliente que con PHP en el lado del servidor, porque te podrian capturar la contraseña en un paquete del cliente al servidor.
Tiene su logica, esto es asi??

Sí tiene su lógica... pero si te pueden capturar la contraseña en el trayecto entre el cliente y el servidor por qué no podrían hacerlo directamente en el navegador (antes de enviar) o en el momento que el usuario lo teclea...? Me parece que no suma tanto.

Evalualo vos según la complejidad y seguridad que le quieras dar a tu sistema, o mejor dicho a tu código porque hacer eso implica añadir las librerías para encriptar en javascript. Yo por mi parte nunca lo hice así, y de última usaría una conexión cifrada.

Saludos.

Gracias por las respuestas, me han aclarado el tema.