Şifre ile alakası yok konunun
kullanıcı index.php ye girdiğinde username session dan gelmiyor mu, token de ordan oluşturulmuyor mu
Bu session denilen olay da client tarafında PHPSESSID adlı bir cookie ile taşınıyor
eğer bu taşınan PHPSESSID cookie sini çalıp kendi browserime eklersem sistem beni başka bir kullanıcı olarak görür, dolayısıyla başka bi kişi adına giriş yapmış olurum
Tamamda,bu her site için geçerli değil mi ? Yani bu bahsettiğim konu ile pek alakalı gelmedi bana ondan diyorum.Giriş yaparsanız herşeyi yaparsınız zaten onda bir problem yok.Browser ne yapabiliyorsa robotda aynısını yapabiliyor zaten