Имеется исходный код проверки авторизации, я конечно изучаю php, но до этого места ещё не добрался, поэтому я очень сомневаюсь

if($_POST['login']==$login && $_POST['password']==$password)
{
//неплохая защита сессии администратора
//**
$_SESSION['logined']=true;
$_SESSION['ip']=$phpfm['ip'];
//**
setcookie("login",$login);
setcookie("pass",md5($password));
}

if(UserPassIsValid($_POST['login'], $_POST['password']))
{
$_SESSION['logined_as_user']=true;
$_SESSION['user_name']=$_POST['login'];
CreateCounter($_POST['login']);
Насколько я понял, этот скрипт проверки авторизации создаёт cookies с привязкой к IP-адресу, а в cookies заносит зашифрованный алгоритмом md5 пароль авторизованного пользователя, скажите правильно я понял этот скрипт? :)

setcookie("login",$login);
setcookie("pass",md5($password));

Этот скрипт создаёт куки с именами login и pass для $login и для md5($password)

Работа с COOKIE на PHP, JavaScript, Perl (http://www.php.su/articles/?cat=protocols&page=013)

Этот скрипт создаёт куки с именами login и pass для $login и для md5($password)

То есть если я организую XSS-нападение, то я получу кроме cookies и сам пароль? Отлично!

Мда......как будешь проверять вход на сайт....напиши в строке браузера javascript:alert(document.cookie) и вот ответ на твой вопрос !