Το apostolis με το postolis δεν θα πρέπει να είναι το ίδιο σε μια διαδικασία login.
Με wild charachter όμως μπορεί να θεωρηθούν και τα δύο οτι πληρούν τις προϋποθέσεις για αυτό που ψάχνεις.
Αν και με το sha256 που χρησιμοποιείς για το password οι κίνδυνοι αυτοί μειώνονται, μιας και δημιουργούνται κρυπτογραφημένα strings που είναι "μοναδικά", το username είναι πιο ευάλωτο.
Και με δεδομένη τη συνήθεια πολλών να δίνουν αστεία passwords (π.χ. 123 που παράγει τον ίδιο sha256 κωδικό) τότε μπορεί να αντιμετωπίσεις πρόβλημα.
Αν η εφαρμογή είναι για σένα ή για σχολή κ.λ.π. πάει στο καλό.
Αλλά για επαγγελματική εφαρμογή αυτό είναι ψιλο απαράδεκτο.