Александр Макаров

1. password_hash — это bcrypt формат. Если есть доступ к базе, то делаете нового юзера с паролем, забираете его хеш и просто перетираете им password_hash в базе у нужного юзера.
2. auth_key — это не релевантно.
3. confirmation_token — это не релевантно.

$sql = 'Select ........';
$model = YourModel::findBySql($sql)->all();

Через relation нормально не выйдет.

Yii считает не количество возвращаемых сырых строк, а количество возвращаемых моделей типа Bill.

Yii::app()->db->createCommand(
  "INSERT INTO users_log (id, email)
    SELECT id, email FROM users"
)->execute();