使用 PHP 的「password_hash()」時是否應該單獨儲存鹽？

使用PHP 5.5的password_hash和password_verify函數進行安全密碼存儲

問題：

當使用PHP 5.5的password_hash()函數來儲存使用者密碼，鹽是否應該與雜湊分開儲存？

答案：

不，將鹽與雜湊分開存放是不正確的。 password_hash() 函數產生一個包含雜湊值和鹽值的字串。這是正確的使用方法：

$hashAndSalt = password_hash($password, PASSWORD_BCRYPT);
// Insert $hashAndSalt into database against user

驗證密碼：

if (password_verify($password, $hashAndSalt)) {
    // Verified
}

這種方法提供了最佳的安全性，因為它可以防止攻擊者訪問鹽並破壞哈希值。另外，建議使用 mysqli 而不是 ext/mysql，後者在 PHP 5.5 中已棄用，並注意 SQL 注入漏洞。

以上是使用 PHP 的「password_hash()」時是否應該單獨儲存鹽？的詳細內容。更多資訊請關注PHP中文網其他相關文章！