В этой статье я решил выложить свое представление о авторизации на сайте при помощи PHP.
Конечно если авторизация происходит на SSL риски того, что пароль будет перехвачен при помощи снифера становятся ничтожными. Но все же, такой вид авторизации не везде используется. Один из видов защиты — это содержание пароля в виде хеша. Но ведь при авторизации пароль оправляется в POST запросе на сервер и существует шанс его выловить. Поразмыслив, я решил попробовать реализовать схему авторизации при которой пароль не будет отправляться на сервер в том виде в котором он есть. И даже не его MD5 хеш. В планах было что то подобное алгоритму ms-chap.
А именно:
1) При посещении сайта неавторизированному пользователю в куке выдается уникальный id.
2) Если пользователь решил автоматизироваться при заполнении пароля генерируется хеш на базе md5 хеша его пароля и выданного ему со стороны сервера id.
3) После попытки авторизации, вне зависимости от ее итогов, id перезаписывается.
Что мы получаем в итоге?
При каждой попытке авторизации генерируется новый хеш отличный от предыдущего и вылавливать его смысла нету.
Итак приступим:
Чтобы особо не заморачиваться нашел на просторах интернета простенький шаблонизатор. Дабы не ставить линки и не нарушать авторские права я воздержусь от его публикации. Да и думаю он тут не важен так как в итоге каждый сделает по своему. Суть тут больше в алгоритме.
итак простенькое ядро в index.php

session_start();
//Присваиваем значение уникальный id если отсутствует
if(!isset($_SESSION['uniq'])||$_SESSION['uniq']=='')
$_SESSION['uniq']=uniqid();
//Запускаем шаблонизатор
require_once('engine.php');
$engine = new Template("tpl/");
$engine->display("header");
//Если отсутствует id сессии то показываем форму логина
if(!isset($_SESSION['id'])||$_SESSION['id']=="") 
{
   $engine->display('login');
}else
{
//считаем клиент уже авторизовался и отправляем его работать
    $engine->display('pannel');
}
?>

Тут все просто и непринужденно.

Дальше переходим к нашей форме логина
Она у меня зовется login.tpl

require_once('libs/mysql.php');
//Проверяем введен логин или нет 
if (isset($_POST['login'])&&$_POST['login']!='')
{
//Если да отправляем на проверку
$db=new Database_Module();
$db->CheckLogin($_POST['login'],$_POST['password']);
} else {
//иначе рисуем форму

//поле ввода логина
        
//поле для ввода пароля
        
//скрытое поле в котором генерируется хеш пароля
        
//кнопка ввода
        Войти
 
//Скрипты JQuery для генерации MD5 хеша 


//Функция генерации хеша

Как получаем постоянно меняющийся пароль, разобрались, осталось разобраться что с ним делать.
После отправки формы мы попадаем в функцию проверки логина и пароля. Тут тоже на вкус и цвет фломастеры разные. В моем случае вместо формы вызывается функция авторизации после итогов которой страница просто обновляется и если авторизация была успешной то мы попадаем в наше рабочее пространство. Если же итог неудачный то мы снова глядим на форму входа.

function CheckLogin($login,$md5pass)
    {
        try{
//Достаем хеш пароля из базы данных
        $STH=$this->db->query("select password from users where email='$login'");
        $STH->setFetchMode(PDO::FETCH_OBJ);
        $val=$STH->fetch();
        $pass=$val->password;
        }
        catch (PDOExeption $e){
            echo $e->getMessage();
        }
//Прибавляем к ней уникальный id полученный в индексе при посещении 
        $pass.=$_SESSION['uniq'];
//Получаем хеш этой гремучей смеси
        $pass=md5($pass);
//Удаляем уникальный id чтоб в следующий раз пароли опять получились новые 
        unset($_SESSION['uniq']);
//Ну и сравниваем хеш
        if(strcmp($md5pass,$pass)==0)
        {
            echo "Авторизация прошла успешно. Если вы не переместились на страницу обновите ее";
            $_SESSION['id']=session_id();
        }
//Обновляем страницу
        echo "";
        echo "  ";
    }

https://habrahabr.ru/post/334388/