Tach!

ich habe es nun wie folgt gelöst. Gut so?

Nein.

Den Password-Hash speicher ich nach erfolgreichen Login in die Session. Bei jedem Seitenaufruf wird das Passwort im Klartext von der DB gelesen und mit dem Hash-Wert geprüft.

In die Datenbank kommt der Hash, der bei der User-Registrierung erzeugt wurde. Vergleichen kannst du das beim nächsten Login eingegebene Passwort mit dem Hash mit der Funktion password_verify(). Anderenfalls kannst du ja gleich Klartext mit Klartext vergleichen, wenn du Klartext speicherst.

dedlfix.