Форум PHP

да.

XSS-уязвимость это я понимаю если не правильно сформированны обработки входных данных в GET и POST ? и вставка HTML кода или JS на пагу ?

Если нет XSS-уязвимостей, схема безопасна.

вот пример

function logincookie($id, $passhash, $user, $expires = 0x7fffffff)   {           setcookie("uid", $id, $expires, "/");           setcookie("pass", $passhash, $expires, "/");          setcookie("user", $user, $expires, "/");    }

но еще думаю доменную проверку тоже вставить...
ну и естественно все данные которые в куках будут сравниватся с данными из базы ... соответственно из этих данныз будет стартовать сессия которая тоже будет проверятся.. после чего будет создаватся массив по данным пользователя...с его инфой
на сколько безопасна такая схема?

Нет, без cookie не обойтись, если необходимо, чтобы сайт "помнил" пользователя между сеансами. Сессии традиционно применяются только для сохранении информации в течении одного сеанса, cookie - в течении более длительного времени. Если код не содержит дыр, и cookie и сессии безопасны - поэтому использовать то, что удобнее и позволит предоставить больше функциональности посетителям.

cheops тоесть вы рекомендуете использовать сиссии ибо безопасней... .. просто хочется сделать так чтобы пользователь постоянно входя на сраничку не вбивал по новой логи и пароль... и без куков как быть в такой ситуации..

Если данные, которые помещаются в сессию не проходят через пользовательскую машину - их подделать нельзя, только SID - однако сами данные будут валидными.

ну так и сессия тоже может подделатся...

Нет почему, можно использовать кольцо... только учитывать, что информация поступает из cookie и, следовательно, может быть подделана.

информация о имени пользователя и зашифрованный в md5 пароль ...

имеется ввиду кольцо из куков значения > в сессию > куки > сессия..

или лучше просто напрямую работать с куками без сессий вообще может они не нужны впринцепе...