Estoy trabajando en la implementación de un sistema de inicio de sesión básico (lo sé, no uses tu propia seguridad, bla, bla, bla) usando PHP y MySQL. Sin embargo, no quiero que el usuario tenga que tener JavaScript habilitado, lo que significa que casi todo el trabajo pesado debe hacerse desde el lado del servidor. Así que quiero marcar la contraseña del usuario antes de enviarla al servidor. Básicamente, no quiero confiar únicamente en https y ssl para evitar ataques MTM. Pero tampoco quiero usar JavaScript para el hashing del lado del cliente.
¿Puedo asegurarme de que los datos que envío al servidor estén en hash o no sean de texto simple sin depender de JavaScript?