ma poi sul server il confronto come lo fai? fai l'md5 dello sha? o usi lo sha direttamente?
e se "io" ti "sniffo" la stringa dello sha?
non conoscerò la password originale, ma mi sa che il risultato non cambia, la stringa criptata dello sha viaggia in chiaro...

vado a naso eh, se non è così sono interessato anche io allo script che usi