это уже чел который делает фронт часть это он должен защитить чтобы никто не видел куда идут запросы на какой сервак
osip, таблицы с common password and salt по разным алгоритмом шифрования можно купить. Для избежание этой уязвимости существует salt+paper+hash. Paper храниться или в другой базе данных или в переменной, но значение всегда одинаковое для всех паролей юзеров. md5 был взломан в 2000. На данный момент используют sha-2 и его производные SHA-224, SHA-256, SHA-384
RPS, еще раз повторяю, password_hash для кого? md5 понятно, одно и тоже значение. Но не password_hash. Не втирай тут бред с дизинфой