Для безопасности авторизации в личном кабинете без использования SSL используется следующий алгоритм:
# В cabinet.php в функции \__show_login генерируется случайное слово.
# В login.php оно выводится в скрытое поле
# При нажатии кнопки "Вход" генерируется md5sum от пароля и случайного слова и выводится в скрытое поле
# Содержимое поля с паролем стирается
# cabinet.php в функции \__login получает md5sum, случайное слово, логин, пустое поле пароля и ip адрес пользователя, передает их в процедуру firebird web_user_login2
# в процедуре сравниваем переданный хэш с хэшем, вычисленным на стороне сервера
# если получилось, то пользователь считается авторизованным
# В cabinet.php в функции \__show_login генерируется случайное слово.
# В login.php оно выводится в скрытое поле
# При нажатии кнопки "Вход" генерируется md5sum от пароля и случайного слова и выводится в скрытое поле
# Содержимое поля с паролем стирается
# cabinet.php в функции \__login получает md5sum, случайное слово, логин, пустое поле пароля и ip адрес пользователя, передает их в процедуру firebird web_user_login2
# в процедуре сравниваем переданный хэш с хэшем, вычисленным на стороне сервера
# если получилось, то пользователь считается авторизованным