Başka bir kişi adına nasıl yolluyorsun hocam ? Sadece şifresini bildiğin kişinin adına yollarsın.
Sistem yapısı gereği dinamik hash olmaması gerekiyor,sorun orada zaten
Şifre ile alakası yok konunun
kullanıcı index.php ye girdiğinde username session dan gelmiyor mu, token de ordan oluşturulmuyor mu
Bu session denilen olay da client tarafında PHPSESSID adlı bir cookie ile taşınıyor
eğer bu taşınan PHPSESSID cookie sini çalıp kendi browserime eklersem sistem beni başka bir kullanıcı olarak görür, dolayısıyla başka bi kişi adına giriş yapmış olurum
