Warte mal, man soll also komplexe Passwörter bilden, weil das System SQL Anfragen annimmt die die Hashes zurückliefern?
Dann liegt die Schwachstelle nicht am Passwort sondern dem durchreichen von SQL Anweisungen...
Und selbst bei bekannten Hashes sollten die für andere Systeme/Webseiten unbrauchbar sein, wenn man beim generieren einen zufälligen Salt einbringt. (eg anderer Hashwert bei gleichem Passwort)
Lirum larum, wenn ein Angreifer es schafft die Datenbank unberechtigt auszulesen liegt die Schwachstelle jedenfalls nicht beim Passwortschreiber.