chgmail.phpにおいてtokenが払い出されてない時を考慮してない tokenが作られてない状態かつPOSTデータにtokenがセットされてない状態だとnull同士を比較するのでif文が真になってしまい 処理が続行されてしまう
chgmail-fix.phpみたいに未定義なら処理を進めない
if (!isset($_SESSION['token']) or $_POST['token'] !== $_SESSION['token']) { // ワンタイムトークン確認
die('正規の画面からご使用ください');
}