Где лучше всего хранить соль пароля для веб-сайта?

У меня есть две соли, у каждого пользователя есть уникальная соль, которая хранится вместе с информацией о пользователе в базе данных. Вторая соль специфична для веб-сайта. Оба необходимы для хеширования паролей.

Проблема в том, что я не знаю, где хранить соль для моего сайта. Сейчас он находится в методе PHP, который запускает алгоритм хеширования. Должен ли я сохранить его в файле вне / var / www / и открыть PHP и прочитать файл? Я не хочу хранить его в базе данных, потому что это противоречит цели наличия двух солей, если моя база данных будет скомпрометирована.

Есть предложения?