Mahlzeit,

Weil ich in Deinem Quelltext nichts von der Bildung eines (salted) Hashes gesehen habe.

hash('sha256',$_POST["passwort"].$salt);

Da es eine Variable gibt, wird er wohl irgendwo irgendwas salzen, vermute ich mal

Was auch immer das für Hashes sind (ich sehe die Länge nicht) und ich hoffe nicht, dass gar etwas umkehrbar verschlüsseltes ist),

hash('sha256',$_POST["passwort"].$salt);

da steht doch sha256, daher ist doch eindeutig, was das für Hashes sind

das ist fast genau so gefährlich wie Klartextpasswörter,

Jetzt übertreib mal nicht. Du sagst ja quasi dass Rainbow-Tables und BruteForce keinen Aufwand bedeuten.

Teraybyte-große SSDs für Rainbow-Tables sind im Konsumer-Segment angekommen, damit geht das richtig schnell.

Aha, die wissen dann also was in $salt steht? Selbst wenn da nur ein "fqawsed54t5ftgqa4" drin steht als String, kannst du jeden Rainbow-Table knicken.

Natürlich ist es besser, gleich die richtigen Funktionen und Strukturen zu nutzen aber unnötige Panikmache halte ich da für Kontraproduktiv. Fakt ist, in den seltensten Fällen ist bei einen Hackangriff die Passwortspeicherung das Problem sondern es sind entweder völlig unsichere Passwörter oder Lücken im System, die ein Eindringen ohne Login erlauben.