처음에는 같은 세션을 유지한 채로 요청을 계속 보내면서 비밀번호 리셋이 되는 걸 우회하고, Time-Based SQLi를 이용해 비밀번호를 얻었습니다.
그런데 그렇게 얻은 비밀번호로는 로그인이 되지 않더라구요.

그래서 방법을 바꿔서, 요청을 보낼 때마다 새로운 세션을 생성하도록 하여 비밀번호 리셋 우회를 시도했더니,
이번에는 정상적으로 로그인이 성공했습니다.

그런데 다른 분들 풀이를 보니까, 오히려 같은 세션을 유지한 방식으로도 우회에 성공한 분들이 있더라구요.
그래서 궁금해졌습니다.
같은 세션을 유지한 채로도 우회가 가능한 원리가 대체 뭘까요?