Chr!st!an

Passwörter sollten gesalzen und gehasht werden (in der Reihenfolge). Das Salz steht einfach als individueller Wert für jeden Benutzer im Klartext in einer separaten Spalte in der Benutzertabelle. Gehasht wird dann z.B. Salz + Passwort, gerne auch mit Trennzeichen dazwischen.
Das Salz dient nicht der Sicherheit des Passwortes und kann daher im Klartext vorliegen. Vielmehr soll das Salz verhindern, dass Benutzer mit gleichen Passwörtern einfach identifiziert werden können. Da das individuelle Salz vor dem Hashen zum eigentlichen Passwort hinzugefügt wird, sind auch bei identischen Passwörtern die zu hashenden Strings unterschiedlich. In der Datenbank ist somit nicht mehr ersichtlich, wenn mehrere Benutzer die gleichen Passwörter verwenden (was bedeuten würde, dass mehrere Accounts kompromittiert werden können, wenn ein einziges Passwort geknackt wird).
Der Wert des Salzes kann beim Anlegen eines Benutzers zufällig generiert werden. Er muss dann aber natürlich in der DB gespeichert (und danach nicht mehr verändert) werden, da er jedes Mal beim Prüfen der Benutzerdaten verwendet werden muss, um das übergebene Passwort zu salzen und danach zu hashen.

Klassischerweise ist der Unterschied (oder zumindest einer der wichtigsten), dass ein Framework sich Inversion of Control bedient. Eine Library rufst du aus deinem Code auf, wenn es dir passt. Bei einem Framework hast du vorgegebene Pattern und Strukturen, in die du deinen Code einbettest.
Eine Library hat typischerweise einen abgegrenzten Funktionsumfang, der sich auf eine Sache beschränkt (in .NET bspw. json.net oder nodatime), wohingegen ein Framework eine Struktur für ein ganzes Programm vorgibt (oder zumindest für Bestandteile des Programms) - so etwas wie ASP.NET zum Beispiel.