Porque NUNCA comparar un string con == en PHP.
Hace poco, leí en el foro de una persona a la que respeto mucho (WHK) que SMF tenia un fallo que permitía resetear las contraseñas de cualquier usuario a base de un "bruteforce ligero". El fallo esta en que generan un token en MD5 y solo comparan los 10 primeros caracteres de este ( ¿a quien se le ocurre esto? ). Resulta que si lo comparas con el operador == y/o != , este puede interpretar directamente los valores que se le pasan como numéricos e incluso realizar operaciones matemáticas.