Bonjour à tous.

En lisant des informations sur la sécurisation sur le web de certaines pages d'un site, j'ai combiner plusieurs méthode afin de sécuriser au mieux des pages.

Je préfères le dire tout de suite, mon objectif n'est pas de sécurisé des contenus autement confidentiel ou des données militaire mais bien de m'intéressé à la question (pour le plaisir).

J'ai un formulaire html avec un login, un password, un champ caché et un capcha généré un php. Le mot de passe est haché en javascript avant l'envoie (POST) avec SHA1. Donc les données postée sont le login, le champ caché avec comme valeur le password haché et le captcha entrer par l'utilisateur sans tester si les données postée sont correct.

Ensuite, je regarde si les 3 infos sont corrects et j'enregistre en variable session (php) un timestamp et l'adresse ip de l'utilisateur.
De plus, pour chaque login, mot de passe et captcha incorrect, j'enregistre dans une table l'adresse ip et le nombre d'erreur.
A 10 erreurs, je redirige directement l'utilisateur.

La page de verification en début de chaque page sécurisée verifie si l'ip existe et est la meme, pareil pour le timestamp et si il y a plus de 5 minutes entre deux pages, je deconnecte aussi.

Voila en gros.

Ma question est que puis-je faire de plus pour mieux sécuriser des pages ?
Evidement, sans passer en https...

Je pense à la gestion des erreurs du style include("connexion.php") ou select ?
J'ai entendu parler des .htaccess ?
Est-il possible de crypter les donnees avec qlq chose de gratuit et fonctionnant avec un hebergeur mutualise ?
Une grosse erreur de débutant ou quelque chose auquel je n'ai pas pensé ?

Je rapelle, je ne suis pas un expert, et je fais ca pour progresser et apprendre des trucs.

Merci à tous.