La documentación para PHP hash_equals() (una función de comparación de cadenas que es segura de los ataques de tiempo) dice,
Es importante proporcionar la cadena suministrada por el usuario como el segundo parámetro, en lugar del primero.
¿Por qué es esto?