Bcrypt to jednokierunkowy algorytm haszujący, nie można odszyfrować hashów. Użyj password_verify aby sprawdzić, czy hasło pasuje do zapisanego skrótu:
<?php
// See the password_hash() example to see where this came from.
$hash = '$2y$07$BCryptRequires22Chrcte/VlQH0piJtjXl.0t1XkA8pw9dMXTpOq';
if (password_verify('rasmuslerdorf', $hash)) {
echo 'Password is valid!';
} else {
echo 'Invalid password.';
}
W Twoim przypadku uruchom zapytanie SQL, używając tylko nazwy użytkownika:
$sql_script = 'SELECT * FROM USERS WHERE username=?';
I wykonaj walidację hasła w PHP za pomocą kodu podobnego do powyższego przykładu.
Sposób, w jaki konstruujesz zapytanie, jest bardzo niebezpieczny. Jeśli nie sparametryzujesz poprawnie danych wejściowych, kod będzie podatny na ataki typu SQL injection. Zobacz tę odpowiedź dotyczącą przepełnienia stosu jak zapobiegać wstrzykiwaniu SQL.
