Guarda, quell'esempio e' in assoluto il piu' ridicolo sistema di autenticazione che abbia mai visto. User e pass sono scritti in chiaro nel codice dello script, ma questo e' il meno perche' basta settarsi manualmente un cookie di nome login contenente OK (anzi, contenente qualsiasi cosa) per bypassare ogni controllo