我正在编写一个允许用户注册的 PHP站点,注册和未注册的用户都可以为学校站点输入各自的用户名和密码(例如smith8h4ft – j9hsbnuio).

然后,我的PHP脚本发送一些$_POST变量,下载并解析标记页面,生成一个名为的数组：
marksDB = Array(“subject”=>数组(“A”,“B”,“A”,“C”),…),并将其重新格式化.

我的问题是：
我该如何保证用户名和密码安全？

对于未注册的用户,我目前忘记了用户名和密码,并将marksDB放入$_SESSION.当用户不活动时,例如30分钟后,marksDB被删除.这些数据在$_SESSION中有多安全？用户如何登录,查看页面一次,再也不会再查看,那么脚本不会从会话中删除marksDB？会话是否自动删除(gc.maxlifetime)？

注册用户呢？我希望一切都安全,但我不想每30分钟不活动时用密码提示来惹恼用户.加密如here所述的凭证是否安全,但没有第三个用户设置的密码？或者我每次都要问用户他的密码？

编辑：

感谢您的快速回复,
@Justinᚅᚔᚈᚄᚒᚔ：我怀疑他们有一些API,但我可以问他们,只是为了案例
@Abid Hussain：感谢非常有用的链接. (也谢谢你的答案).
我将抛弃用户的凭据,并且只解析了markDB,我也可能会丢弃它(在注销或不活动之后) – 在需要时再次检索标记很便宜.