U kunt de invoer niet hashen en er vervolgens een query op uitvoeren in de database, omdat de hash elke keer een ander willekeurig zout gebruikt. U kunt hetzelfde wachtwoord dus duizend keer hashen en 1000 verschillende resultaten krijgen.
U hoeft alleen maar de database op te vragen voor het record met betrekking tot de gebruikersnaam en vervolgens de wachtwoordhash die is geretourneerd door de database te vergelijken met het ingevoerde wachtwoord met behulp van password_verify() .
Ook bij het aanvankelijk schrijven van de hash naar de DB bij het maken van een wachtwoord (met behulp van password_hash() ) is het niet nodig om aan de hash te ontsnappen. password_hash() wordt helemaal niet gebruikt in het wachtwoordverificatieproces.