En résumé, ne jamais utiliser '==' pour ses comparaisons, mais plutôt (dans l'ordre de préférence) :
1- hash_equals() disponible depuis PHP 5.6
2- Zend\Crypt\Utils::compareStrings() ou Symfony\Component\Security\Core\Util\StringUtils::equals() si vous devez supporter PHP 5.5 ou moins
3- utiliser '===' mais vous serez vulnérables quand même à certaines attaques