check
http://www.free2code.net/tutorials/programming/php/4/sessions.php

in web world .. session are easily to exploit..

so for programmer watch out ur code..

heheh, ni kes hijack session id. majoriti benda yg memerlukan access login ada session id.

sepanjang pengetahuan saya,php ada fungsi md5.
pastu GET memang akan letak password pada apache logs,if not mistaken,tak enkrip.

POST secure sket.
err...ni tak consider SSL ke?

check apadia ssl..
:)

web protokol design without security at first la.. :) http connection.. sebab mungkin orang yang memperkenalkan .. http nih tak aspect menda nih akan diguna ramai... even bila orang start up with networking dan tcp/ip ianya direka dan dibina tanpa memikirkan security.. dsb..

actualy http/web communication cukup mudah berbanding protokol lain.. dan untuk menyulitkan dan provide some session (yang leh trust) nih ler.. adanye session id.. lebih kepada pengawalan..

wujud SSL over httpd hanya untuk provide secure communication ?? secure betul ke ?? :) percaya 128bit encryption yang US dah bagi export keluar.. ??

apapun semua nih teknologi manusia buat dan of course manusia juga leh break it down.. :)

i.e kena cari sistem/os yang pelik2 kalau nak kurang risiko. :)

::teringat dictionary brute force bernama Obi Wan Project :p