ciao
oppure molto meglio usare un db (es. mysql)
Be dipende, l'unica differenza sarebbe che col database diventa più facile inserire utenti, al limite possono farlo da soli come avviene ad esempio in questo forum.
Per la sicurezza invece anche un file di testo può andare bene se si ha l'accortezza di non metterlo in nessuna delle directory di root del sito e successive.
Se il sito è montato su apache, solitamente il proprio spazio è: /home/nome_account_sul_server/public_html/
Dove /home/account_sul_server/ è la directory del nostro account, cioè dello spazio che abbiamo comprato, qui ci vanno i files che nessuno può leggere dalla rete, come un file di testo con i nomi dei nostri amici e le loro password.
/public_html/ è la root del server, quella a cui si punta con
www.miosito.bo/
Per accedervi bisogna o essere account_sul_server o fregargli la password, o trovare un exploit che permette di avere i privilegi di account_sul_server, e per questi ce ne sono pure troppi in giro
oppure infine, poter mettere uno script sul server o peggio con un sistema di login fatto male, fare un'injection dal login stesso e leggere il file.
Escluso tutto questo anche un semplice script messo lì va bene, ovviamente comunque gli "amici" non devono essere come Alessandro
o meglio, se fatto male, anche usare un database può avere i suoi limiti, anzi una injection su un database in grado di leggere i suoi campi è più facile da realizzarsi a volte.
Poi ovvio, IMHO.
