En fait, toutes les variables sont côté client.
Ce qu'il dit est totalement possible, je vous expliques.
J'ai procédé de la même façon que lui, et ai réussi.
Tout simplement car :
Les variables sont côté client et donc possible de les modifier.
Au pire coder un petit programme (que vous appelez trainer)...
Les trainers sont possible grâce au fait que les variables sont côté client et non pas serveur.
De même pour les failles, cheat engine n'aurait aucun effet si les variables n'étaient pas côté client...
Je ne sais pas si lui l'a vraiment fait, mais je dis que c'est possible, que blablaland est bien protégé avec un htaccess, et que le htpasswd est bien crypté (en MD5), non dé-cryptable...
Je ne suis pas un expert en cryptage donc bon, mais si je me rappelle bien mes cours, le md5 n'est tout simplement pas dé-cryptable...
Je dis juste que c'est possible, pas qu'il l'ait fait.
Moi même je bloque sur le htpasswd en MD5 
(Viens m'aider au pire, pour prouver.)