Nemůžete hashovat vstup a poté se na něj dotazovat v databázi, protože hash pokaždé použije jinou náhodnou sůl. Mohli byste tedy tisíckrát zahašovat stejné heslo a získat 1000 různých výsledků.
Stačí se jednoduše dotázat DB na záznam související s uživatelským jménem a poté porovnat hash hesla vrácený z DB se vstupním heslem pomocí password_verify() .
Také při počátečním zápisu hashe do DB při vytváření hesla (pomocí password_hash() ) není potřeba hash uniknout. password_hash() se v procesu ověřování hesla vůbec nepoužívá.