Ich habe gerade Ärger mit einem Bot. Der ist zu doof, ein Subject-Input-Feld mit einem Betreff zu füllen, nur weil das input-field als name den wert phone hat, aber er scheint den token auszulesen. Finde ich merkwürdig.

  elseif ($_SESSION['token'] != $_POST['token']) {
...
} elseif (...) {
...
// der Bot kommt bis hierher

Nun, so lange ich nicht die gesamte Entscheidungsstruktur und die Bedingungen sehen kann, kann ich zwar nicht wirklich beurteilen, ob das „komisch“ ist, da aber ein Programm bei identischen Daten und Einstellungen immer gleich reagiert vermute ich, dass das weniger „komisch“ als viel mehr „zwingend“ ist.

Wenn also steht

<?php
$foo = false;
$bar = true;
$tok = true;

if ( $foo ) {
   echo 'foo ist true'. PHP_EOL;
} elseif ( ! $bar ) {
   echo 'bar ist false'. PHP_EOL;
} elseif ( $tok ) {
   echo 'tok ist true'. PHP_EOL;
}

Dann wundere ich mich keine Sekunde Minute darüber, dass

tok ist true

ausgegeben wird.

Fazit:

Untersuche die Logik. Irgendetwas ist anders als von Dir erwartet. Auf jeden Fall ist es wie von Dir notiert.