Не достаточно информации. У вас там захардкожены root/toor, то есть логики аутентификации как таковой нет — оценивать не чего. Но как минимум вы уязвимы к CSRF.
Не достаточно информации. У вас там захардкожены root/toor, то есть логики аутентификации как таковой нет — оценивать не чего. Но как минимум вы уязвимы к CSRF.
Данные для логина захардкодил специально, в оригинале берутся из бд
В бд (sqlite3) хранится имя юзера и хэш пароля (md5). Сначала проверяется, существует ли юзер с таким именем (простым select'ом), если существует - берётся хэш пароля данного юзера и сравнивается с тем хэшем, что получен из формы