ну пиздец. отправить на любой номер(даже не сравнив его в базе) код получив его через get.. почему бы блять просто не повесить чекбокс "я хакер" и не пускать на страницу без пароля?
раскрыть ветку (1)
Там номер выводится по идентификатору st.uid , даже сейчас будет меняться фото, просто сделали выборку из базы по сессии из куков)) Видимо кто-то забыл дописать условие на сайте одноклассники