Zend Framework компонент Zend_Auth_Adapter_Doctrine_Table  для аутентификации пользователя собирает 
sql запрос вида:
 

где 'sss' - пароль указанный в форме логина.

Получается на сервер базы данных пароль передается в незашифрованном виде и вместе с ним логин. 
Соответственно очень даже вероятно что эти данные сохраняться опять же в незашифрованном виде в логах базы данных или кэша 
если кэшируются все запросы.   

1.

это не запись в БД, а запрос к ней на вывод инфы

2.

это на запись в БД

Например:

в БД запишется: 202cb962ac59075b964b07152d234b70 (хешь) цифр 123

для сравнения пишешь так:


если совпадает то TRUE в противном случае FALSE....

но использовать функцию md5() лучше еще с какой-нить функцией, чтоб создать проблемы взломщику...

Пока писал пост наткнулся на сайт (не указываю линк)


в связи с тем, что уже достаточно узнать хеш пасса.. можно узнать настоящий пасс....


P.S. я сейчас хочу добавить столбец где будет указан код-подтверждения... Т.е. при регистрации.. все проходит хорошо... в БД залетает хеш пасса и код-подтверждения)генерируется автоматически и высылается на e-mail), который при авторизации нужно будет ввести, если совпадает пасс и код-подтверждения то авторизовываем, если нет совпадения, выводим ошибку, например ст.272 УК РФ... или что нить другое...
Правильно это или нет (Это относится к опытным программистам, просто нужен ответ, а тему из-за этого создавать не охото)

Shark, 
если включено логгирование запросов, то в лог попадет запрос, где явно указан пароль, в этом и проблема.

Это где такой компонент, покажите. Версия 1.11 - не нашел.

Nigel, в версии из коробки его конечно нет ) как и доктрины 
класс Zend_Auth_Adapter_Doctrine_Table доступен по http://framework.zend.com/wiki/pages/viewp...?pageId=3866950