tabella utente con

username
salt
password ( che sarebbe la password inserita dall'utente criptata con il salt)

login:

utente inserisce in form username e password
find by username
se risultato = 1 (username esiste), faccio l'encrypt della password col salt prelevato dal db
se la password salvata nel db è uguale all'hash che ho ottenuto dal criptaggio, allora la login è corretta
altrimenti restituisco "nome utente/password errati"
mai restituire informazioni che possano far capire che la username è corretta ma la password no

per quanto riguarda password_hash/password_verify non saprei, ho sempre usato crypt o chi per lui