Сибирский , Тогда просто при каждой авторизации на время сессии писать токен в базу, куки и проверять его. А не совпал - сносить куки.
А то если пароль сольют(даже зашифрованный), то всё равно подберут как нибудь:)

$password = md5($_COOKIE['pass']);
вот так верно будет. Потому как хэш md5 дает только буковки и фильтровать его не надо ))

без ошибок

CreepMatis , то есть если я любой токен введу он не совпадает и сносится кука, а что будет с пользователем, его авторизация засчитана? И придется ему при каждом разе вводит логин и пароль )) Нет опасности если крадут хэш, тем более если он шифруется не чисто md5 а своим алгоритмом

Сибирский , Про циферки забыл

Вот пример шифровки в пресловутом dcms social
function shif($str)
{
global $set;
$key=$set['shif'];
$str1=md5((string)$str);
$str2=md5($key);
return md5($key.$str1.$str2.$key);
}

CreepMatis , циферки это тоже печатаемые символы и никой экранировки им не нать ))

Сибирский , Если своим алгоритмом, то да... А md5, мне кажется, уже подобрать легко можно(а если текст, зашифрованный в хэше - qwertyuiop или 123 - ещё проще):D
Эх, хорошо, что я уже в своих проектах(последних(кроме игры)) стал шифровать пароли через API хэширования)

Сибирский , нужна помощ етот код написан без ошибок $password = htmlspecialchars(md5($_COOKIE['pass']));

Сибирский , Я это и имел в виду:)