La documentazione per PHP hash_equals() (una funzione di confronto delle stringhe che è sicura dagli attacchi temporali) dice
It is important to provide the user-supplied string as the second parameter, rather than the first.
Perché è questo?