Egal ob Hashs oder nicht, das spielt in dem Fall der Übertragungssicherheit keine Rolle. Wenn ich den zu sendenen Hash abfange und ihn dann als PHP-Parameter übergebe oder das Passwort direkt ist egal, denn so oder so wird das PHP-Skript diese Parameter als gültig hinnehmen.