Použijte hash_hmac
Používám to takto:hash_hmac($algo, $password.$salt, $siteKey);
I kdyby se útočník dostal do vaší databáze, potřeboval by váš sitekey, aby mohl úspěšně zasáhnout hrubou silou, i když kolize nebudu komentovat. Vyberte si algo/jed. :D