ковырялся тут в dle и нашол что авторизация работает таким образоп.

по умолчанию перемёная is_logged имеет false а при успешной авторизации присваивается true и кроме этого еще в куки пишется логин и зашифрованый пароль. Разве не безопасно хранить пароль в куках?

где та раньше на каком та форуме читал что даже зашифрованый пароль можно разшифровать.

Если пароль с солью зашифрован то неполучится расшифровать.
Да и вообще пароль зашифрованный просто функцией md5() расшифровать нельзя, его можно только подобрать.

всмысле солью? а для подбора же даже программы сушествуют же.

соль - это случайный набор символов, добавляемый к паролю. Потом все это дело хешируется.
Соленые хеши значительно более взломоустойчивые.

а понятно. надо на заметку взять. в dle просто md5 шифрует без соли.

Значит можно в куки пароль добавлять.

вы уверены? я с dle не работал, но что-то сомневаюсь, чтобы они чистые хеши в куки клали

незнаю как в новых версиях, в них ещё не ковырялся, но в версии 2 точно просто md5

Даже если они и кладут в куки хеш пароля то его нужно оттуда ещё достать, а сделать это не так-то и просто, так как уязвимостей XSS на в движке нет.
А если подстановкой действовать то наврядли что выйдет.