每次执行 password_hash('123456', PASSWORD_BCRYPT) 语句后，得到哈希值都不一样！

给密码做哈希之前，会先加入一个随机子串，因为加入的随机子串每次是不一样的，所以得到的哈希值自然就不一样了。这就让在不同的服务中使用同一个密码的用户，他的密码的安全性变高了。这个随机子串就叫「盐值」，加入盐值的过程就是「加盐处理」。

<?php

$passwordHash = password_hash('123456', PASSWORD_BCRYPT);

echo $passwordHash.PHP_EOL;

$flag = password_verify('123456',$passwordHash);

echo $flag.PHP_EOL;

<?php

function custom_function_for_salt() {

    return md5(mt_rand(1111,9999));

}

$options = [

    'salt' => custom_function_for_salt(), //自定义函数来获得盐值

    'cost' => 12 // the default cost is 10

];

$passwordHash = password_hash('123456', PASSWORD_BCRYPT,$options);

echo $passwordHash.PHP_EOL;

$flag = password_verify('123456',$passwordHash);

echo $flag.PHP_EOL;

PASSWORD_BCRYPT 支持的选项：

salt(string) - 手动提供散列密码的盐值（salt）。这将避免自动生成盐值（salt）。

省略此值后，password_hash() 会为每个密码散列自动生成随机的盐值。这种操作是有意的模式。

Warning

盐值（salt）选项从 PHP 7.0.0 开始被废弃（deprecated）了。 现在最好选择简单的使用默认产生的盐值。

cost (integer) - 代表算法使用的 cost。crypt() 页面上有 cost 值的例子。

省略时，默认值是 10。 这个 cost 是个不错的底线，但也许可以根据自己硬件的情况，加大这个值。