Ich habe mir das angeschaut. Was da "Dokumentation" genannt wird enthält für mich kaum verwertbare Informationen.

Okay, kann man dir da helfen, scheiterst du am Englisch, am Schreibstil, an technischen Hürden oder an etwas ganz anderem? Das sind jedenfalls zwei der prominentesten und technisch am weitesten entwickelten Frameworks im PHP-Kosmos. Wenn man eine Anlaufstelle für PHP-Sicherheit sucht, dann ist man dort schon an einer guten Adresse. Computer-Sicherheit gehört halt zu den schwierigsten Disziplinen in der Informatik und vieles ist eben nicht so einfach und demzufolge auch nicht einfach zu erklären. In der Selfhtml-Community sind unsere Kompetenzen in diesem Bereich leider auch unterrepräsentiert (ich bin da keine Ausnahme). Gerade deshalb sehe ich unsere Pflicht eher darin unsere Leserschaft zu sensibilisieren und ihnen nicht mit eigenen, leider minderwertigen Lösungen zu begegnen.

Im Gegenteil, einige Sicherheitslücken sind hier bereits diskutiert worden, mindestens eine davon ist immer noch präsent

Als da wäre?

Das Loginsystem erkennt nicht, wenn es auf einer PHP-Version kleiner als 5.5 ausgeführt wird. Dabei gibt es für ältere Versionen keine Security-Fixes mehr (für PHP 5.5 fallen sie in 10 Tagen dann auch weg). Im Artikel werden sogar noch angeblich wirkungsvolle Polyfills serviert – das ist, mit Verlaub, Schalatanerei. Und selbst wenn das irgendwann behoben werden sollte, bleibt der fade Beigeschmack eines völlig unerprobten Loginsystems erhalten: Es gibt keinen einzigen Test, keinen offiziellen Maintainer, niemanden der die Abhängigkeiten oder CVE-Listen observiert und den Artikel diesbezüglich aktualisiert. Wirklich niemand will so ein Risiko eingehen.