1. Третьий параметр - как сравнивать. 0 - бинарное сравнение (т.е. сравнивать, как бинарные данные - как раз то, что тебе нужно).
2. Сравнивают хеши, т.к. передавать пароль в открытом виде значит практически выкладывать его в открытый доступ. Ну и в дополнение SQL-injection возможен (например, если вместо пароля я введу что-то типа "aaa OR 1=1". Посмотри какой запрос тогда получится
А хеш передавать достаточно безопасно, т.к. он не реверсабл, хотя при перехвате тоже позволяет зайти в БД.