Das hacken geht so:

Im Quellcode (der Datei foobar.php) steht am Anfang

if (password==="supermegapasswort") {
  passwordok=1;
}
if (passwordok===1) {
...
}

Der dumme Hacker versucht jetzt erstmal 10 Stunden lang
foobar.php?password="hallo"
foobar.php?password="test"
foobar.php?password="pass"

Der intelligente Hacker kennt das Script, weil es auf 10 anderen seiten auch läuft, wo er auf den Quellcode zugriff hat und weiß, dass man, egal, wie das Passwort lautet mittels

foobar.php?passwordok=1

hineinkommt. Und ich wette, wenn man alle Passwortscripte die so laufen, auf die Variablen password,passwordok,passwordcheckpassed usw. abklopft kommt man schneller zum Ziel als mit Passwort raten.

Gegenmaßnahme: Script muss so lauten:
passwordok=0;
if (password==="supermegapasswort") {
  passwordok=1;
}
if (passwordok===1) {
...
}