смысл в том что ты генирируешь пароль

обычный md5 без соли md5(pass);

с солью md5(pass,salt);

Так вот преположим мы знаем что сайт использует 1 вариант, а значит мы можем спокойно брутить\гуглить этот md5, либо заменить на свой. Благодаря тому что хеш без соли авторизоваться у нас получится тк при авторизации выполняется тот же метод шифрования после чего идет сверка. Во 2 же варианте не проканает если мы не знаем соль, тк генерируя обычный мд5(без соли) и заменяя его в базе он не будет совпадать при проверки авторизации тк соли то у нас нету, а значит и хеш совсем другой.