Всё-таки никак не могу понять, как такое возможно
(
Ведь перед каждым сообщением идет проверка и имени пользователя и пароля.
Получается, что для подмены имени автора сообщения нужно знать и его пароль.
Но зная пароль и имя, можно просто войти на форум под его именем, и не заморачиваться куками 
Ничего не понимаю, может кто-нибудь подскажет, как возможна подмена имени автора сообщения без знания его пароля???
(мне это нужно чтобы понять в чем уязвимость и нейтрализовать её)