同一ページで書き出して同一ページで処理をするということになっている

if(!empty($_POST["u_id"]) && !empty($_POST["pass"])){
　if(!empty($_POST["ticket"]) && $_POST["ticket"]==$_SESSION["ticket"]){

上のif
初めて訪れたのか、認証のためにこのページを訪れたのかで挙動が変わる

下のif
$_POSTデータをもってきて「通りたい」といってきたら、
「チェットみせて」という。
これはアタックを防ぐためにある
 

if(password_verify($_POST["pass"],$row["pass"])){

プレーンなパスワードと、ハッシュドのパスワードを比較する
この部分がきも。
 

なお完全にランダムな数はこんぴゅーたーは出力できない
なので、
$ran=rand(100,999);
$salt="tekitounamoji";
$ticket=md5($salt . $ran);
$_SESSION["ticket"] = $ticket;
というふうに
ソルトを使うといい