@חוקר אמר בנוד bcrypt עם מלח משלי:
ראשית כל שולפים מהבסיס נתונים את המשתמש העונה למייל המבוקש, ואח"כ משווים את הסיסמא עם פונקציה יעודית.
זה מה שהבנתי בסוף שכולם עושים.
אני רציתי להימנע מלשלוף מהDB במידה וזה לא הסיסמה הנכונה, כלומר חיסכון עבודה של השרת עבור נסיונות פריצה. בשביל זה כללתי בwhere עצמו שהסיסמה נכונה (בשביל זה אני חייב לייצר בדיוק את אותו גיבוב שוב כדי להשוות מחרוזות בלי הפונקציה ייעודית של compare), אז אם זה שגוי חוזר אפס תוצאות שזה יחידת עבודה פחות גדולה. קשקושים של חיפוש שלמות מיותרת.