Estas entendiendo mal, si no vas a usar SSL, y quieres tener "seguridad" en la transmisión de los datos desde la pagina HTML al script PHP, o mas bien desde el usuario cliente al servidor, entonces necesitas encriptar con un javascript la contraseña para enviarla al servidor, ahora este método de "encriptar" es publico, porque cualquiera puede abrir tu pagina web y ver como hiciste el programa, por lo que seria fácil desencriptar la contraseña.

Luego en tu script PHP necesitas desencriptar la contrasña que te llega codificada y entonces compararla con la base de datos.

Saludos.