>>90
あくまで憶測、だが…

1.変数を空文字列に初期化
2.入力されたIDをキーにして、DBから登録されているパスワードを検索
3.取得できたパスワード文字列変数に代入
4.変数に入っている文字列と入力されたパスワードが一致したらOK

という仕掛けだったとすると…

1.変数を空文字列に初期化
2.空IDで検索して該当無し
3.DBから取得できなかったので代入はスキップ
4.変数に入っているのは空文字列で、入力されたパスワードと一致!

となったりしそうな。