Nemůžete hashovat vstup a poté se na něj dotazovat v databázi, protože hash pokaždé použije jinou náhodnou sůl. Mohli byste tedy tisíckrát zahašovat stejné heslo a získat 1000 různých výsledků.
Stačí se jednoduše dotázat DB na záznam související s uživatelským jménem a poté porovnat hash hesla vrácený z DB se vstupním heslem pomocí password_verify()
.
Také při počátečním zápisu hashe do DB při vytváření hesla (pomocí password_hash()
) není potřeba hash uniknout. password_hash()
se v procesu ověřování hesla vůbec nepoužívá.