Entonces, leyendo este artículo: enlace dice que almacenar la sal está bien en texto sin formato porque representa el Tablas de búsqueda / arco iris ineficaces. Obtengo eso, pero ¿por qué no generar el salt de la contraseña enviada y luego nunca almacenar eso por separado?
Algo como esto:
<?php
$pass = '12345';
$salt = '';
// generate the salt somehow... probably not like this
$hash1 = hash('md2',$pass);
$hash2 = hash('md4',$pass);
for($i = 0; $i < strlen($hash1); $i += 2){
$salt .= $hash1{$i} | $hash2{$i};
}
// hash the results
$hashedPass = hash('bcrypt', $salt . $pass);