PHP-Code:
<?php 
    $secret_salt "topsecretsalt";  // Autogeneriert vom installer script 32Zeichen Random
    $password "testpasswort";  //Passwort des Users
    $salted_password md5(md5($secret_salt) . md5($password));   //MD5 vom salt + MD5 vom Passwort -> MD5
    $password_hash hash('sha256'$salted_password); //und diesen string durch sha 256 
?>

Wenn wir nun davon ausgehen das ein hacker das passwort in der db nun kennt,
so muss er den sha256 knacken was nicht mal unsere amis mit 3 buchstaben schaffen...
gehn wir davon aus, so hat er 32 zeichen die er duch eine tabelle jagen darf um einen string zu bekommen den er nochmal durchjagen muss (ohne zu wissen das er stimmt)
und dan einen teil salt und einen teil pw zu haben...

Have fun...