我们常常为了避免在服务器受到攻击，数据库被拖库时，用户的明文密码不被泄露，一般会对密码进行单向不可逆加密——哈希。本文主要给大家介绍了关于php更安全的密码加密机制bcrypt的相关资料，文中介绍的非常详细，对大家具有一定的参考学习价值，需要的朋友们下面来一起学习学习吧。希望能帮助到大家。
常见的方式是：
哈希方式 加密密码
md5(‘123456') e10adc3949ba59abbe56e057f20f883e
md5(‘123456' . ($salt = ‘salt')) 207acd61a3c1bd506d7e9a4535359f8a
sha1(‘123456') 40位密文
hash(‘sha256', ‘123456') 64位密文
hash(‘sha512', ‘123456') 128位密文
密文越长，在相同机器上，进行撞库消耗的时间越长，相对越安全。
比较常见的哈希方式是 md5 + 盐，避免用户设置简单密码，被轻松破解。
password_hash
但是，现在要推荐的是 password_hash() 函数，可以轻松对密码实现加盐加密，而且几乎不能破解。
$password = '123456';   var_dump(password_hash($password, password_default)); var_dump(password_hash($password, password_default));
password_hash 生成的哈希长度是 password_bcrypt —— 60位，password_default —— 60位 ~ 255位。password_default 取值跟 php 版本有关系，会等于其他值，但不影响使用。
每一次 password_hash 运行结果都不一样，因此需要使用 password_verify 函数进行验证。
$password = '123456';   $hash = password_hash($password, password_default); var_dump(password_verify($password, $hash));
password_hash 会把计算 hash 的所有参数都存储在 hash 结果中，可以使用 password_get_info 获取相关信息。
$password = '123456'; $hash = password_hash($password, password_default); var_dump(password_get_info($hash));
输出
array(3) {  [algo]=>  int(1)  [algoname]=>  string(6) bcrypt  [options]=>  array(1) {  [cost]=>  int(10)  } }
注意：不包含 salt
可以看出我当前版本的 php 使用 password_default 实际是使用 password_bcrypt。
password_hash($password, $algo, $options) 的第三个参数 $options 支持设置至少 22 位的 salt。但仍然强烈推荐使用 php 默认生成的 salt，不要主动设置 salt。
当要更新加密算法和加密选项时，可以通过 password_needs_rehash 判断是否需要重新加密，下面的代码是一段官方示例
$options = array('cost' => 11); // verify stored hash against plain-text password if (password_verify($password, $hash)) {  // check if a newer hashing algorithm is available  // or the cost has changed  if (password_needs_rehash($hash, password_default, $options))  {   // if so, create a new hash, and replace the old one   $newhash = password_hash($password, password_default, $options);  }  // log user in }
password_needs_rehash 可以理解为比较 $algo + $option 和 password_get_info($hash) 返回值。
password_hash 运算慢
password_hash 是出了名的运行慢，也就意味着在相同时间内，密码重试次数少，泄露风险降低。
$password = '123456'; var_dump(microtime(true)); var_dump(password_hash($password, password_default)); var_dump(microtime(true));   echo \n;   var_dump(microtime(true)); var_dump(md5($password)); for ($i = 0; $i < 999; $i++) {  md5($password); } var_dump(microtime(true));
输出
float(1495594920.7034) string(60) $2y$10$9zlvgzqmizpekyiiucht6eujqebekoajfqo8/jw/q6dmrmwnn0pdm float(1495594920.7818) float(1495594920.7818) string(32) e10adc3949ba59abbe56e057f20f883e float(1495594920.7823)
password_hash 运行一次耗时 784 毫秒， md5 运行 1000 次耗时 5 毫秒。这是一个非常粗略的比较，跟运行机器有关，但也可以看出 password_hash 运行确实非常慢。
相关推荐：
aes/rsa加密机制
jquery加密cookie的实现方法
php如何更好的对密码进行加密处理
以上就是php密码加密机制bcrypt详解的详细内容。