Jag insåg i efterhand att jag var lite otydlig där. Frågan handlade ju om php4 eller php5 å ena sidan och asp eller .net å andra sidan. Vad jag menade var förstås utan tvekan php5 istället för php4 (och detsamma för mysql). Inget annat.

Vad det gäller val av .net eller php så är det nog snarast en smakfråga.

Fördelar med php skulle dock kunna vara:
1. rakt igenom gratis
2. mycket enkelt att börja med
3. små saker kan göras mycket enkelt - enradsutskrifter av cookies etc utan funktioner eller objekt
(Nackdelar är väl eventuellt att det är rätt lätt att själv förorsaka säkerhetsbrister)

Fördelar med .net kan vara
1. Man är invand på en windowsmiljö och vill undvika linux/unix av någon anledning
2. Striktare struktur på språket
(Nackdelen är väl kostnaden)

Som sagt fritt val efter behov. Jag gillar Perl.

Till att börja med så ska du inte använda endast md5 om säkerheten är viktigare än "normalt". SHA1 + lite salt och peppar är MINST att rekomendera.

LAMP (linux, apache, mysql, php) plattformen går utmärkt att bygga säkra lösningar på dock kräver det en del insyn i vad man håller på med. För övrigt så är PHP enkelt att komma igång med och det finns en bred användarcommunity vilket gör att det är lätt att få hjälp, feedback, ris och ros m.m på det man gör.

Sen vilket som är "bäst" finns det ingen svar på, välj efter ditt eget behag.

Sha1 är väl inte så värst mycket bättre än md5? Brister har väl påpekats för bägge hash-metoderna och ska det vara "extra" säkert så räcker inte detta som du nämner.

md5 funkar bra som säker "password-hash", så länge man använder en saltsträng tillsammans med lösenordet.

Den är "bättre" än md5 i den mening att md5 är 128bit medans SHA-1 är 160bit vilket gör den något "svårare" att köra ett kollisionstest (s.k bruteforce) på. Vill man vara riktigt petig så finns det SHA-256 php bibliotek tillgänglig gratis under GPL, och om du inte tycker det är säkert nog, så well.. då kan du börja med att koppla ut datorn ifrån internet.

Edit: Men som överstående skribent skriver; ett md5 med lite salt och peppar räcker långt för de flesta.

Edit 2: För de som är intresserade av SHA-256 i php -> http://code.tatzu.net/sha256/

.Net kommer med MD5, SHA1, SHA256, SHA384 och SHA512 färdigt att använda. Även kryptoklasser såsom DES, RC2, Rijndael (som jag själv brukar använda mig av), TripleDES, samt asymetriska algorithmer såsom DSA och RSA

Det är väl det som är fördelen med .NET att det har mycket "Out of the box" lösningar men det skall väl också påpekas at .net är ett ramverk och inte ett språk i sig. Det finns många PHP ramverk som också har t.ex trevliga sha256 osv. färdiga att använda som Zend Framework.

Det är iofs bara en utav fördelarna med .net :P En annan fördel är att man inte behöver kleta i någon config-fil som man inte får kleta i när man ska ha igång något grafiklib :)

Mcrypt finns till PHP och där finns bl.a.
Hashfunktioner som finns i PHP 5.2.4 är

Inte för att vara sån. Men bruteforce är väl inte samma sak som kollisionsattack (eller vad det egentligen heter)? Såvitt jag har förstått det så utnyttjar man i det senare fallet att två olika värden genererar samma hashkod. Detta då det inte finns oändligt antal kombinationer, vilket således bidrar till att flera värden har samma hashvärde. Det får också som konsekvens att det framtagna värdet inte alltid behöver vara samma som lösenordet, utan bara att båda värderna har samma hashkod.

På bruteforce däremot så går man igenom alla möjliga olika kombinationer tills man hittar rätt. Det får som följd att det inte tar mer försök för att få fram värdet genom bruteforce om man gör det i stigande ordning, oavsett hur många bitar hashsträngen är på. Även om tiden kanske varierar.

Rätta mig gärna om jag har fel!