A kuldott hash nem egyezik a DB-ben tarolttal. Amit a kliens kuld az pl AES, amit a megfelelo kulccsal vissza lehet fejteni es a visszafejtett jelszot hasheli egy mas metodussal ( pl. csak rainbow -al visszafejthetovel ) es azt hasonlitja ossze a DB -ben levovel.
A kulcsot a kliens akkor kapja meg amikor megnyitja a login oldalt.
Tehat:
login.php lekeres => a server general egy random hash-t es elkuldi a kliensnek az oldallal egyutt => a felhaszalo post -olja a form -ot, akkor csak a hash lesz kuldve amit a jelszo,kulcs parosbol general. A szever amikor megkapja, akkor a _SESSION -ban tarolt kulcs alapjan megtudja a jelszavat amit ujra hash -el.
Tudom, szarnak egy pofon, de ha 10 perccel megroviditem egy betoro eletet, mar megerte :)