ah! ero convinto che phpbb criptasse PRIMA di fare l'invio e facesse il confronto delle stringhe criptate.
se fossi un malintenzionato, giocheresti direttamente col DB, come già detto, e arriveresti a quelle password senza script.
cmq sia continuo a non essere scandalizzato da questo comportamento :bho: