Ciao,

La funzione password_hash restituisce una stringa che contiene sia l'hash e il sale. Quindi:
$ hash E Salt = password_hash ($ password, PASSWORD_BCRYPT);
// Inserire $ hashAndSalt nel database contro utente
Poi per verificare:
// Recupera hash + sale dal database, posto nella variabile $ hashAndSalt
// E poi di verificare $ password:
if (password_verify ($ password, $ hashAndSalt)) {// verificati
}

Inoltre, come suggeriscono i commenti, se sei interessato a sicurezza ti consiglio a guardare mysqli (ext / mysql è deprecato in PHP5.5), e anche questo articolo su SQL injection.

Adesso tu fai la verifica con md5.

Cristiana,
OracleCloud